Один співробітник Vercel скористався інструментом на основі штучного інтелекту. Один співробітник цього постачальника інструментів ШІ став жертвою інфостилера (шкідливого програмного забезпечення, що викрадає дані). Така комбінація створила зручний шлях до внутрішніх систем Vercel через OAuth-дозвіл, який ніхто не перевірив.
Vercel, хмарна платформа, що стоїть за Next.js та його мільйонами щотижневих завантажень з npm, у неділю підтвердила, що зловмисники отримали несанкціонований доступ до внутрішніх систем. Було залучено компанію Mandiant. Правоохоронні органи були повідомлені. Розслідування триває. Оновлення в понеділок підтвердило, що Vercel співпрацювала з GitHub, Microsoft, npm та Socket для перевірки, що жодні npm-пакети Vercel не були скомпрометовані. Vercel також оголосила, що тепер за замовчуванням створює змінні середовища як «конфіденційні». Next.js, Turbopack, AI SDK та всі опубліковані Vercel npm-пакети залишаються нескомпрометованими після скоординованого аудиту з GitHub, Microsoft, npm та Socket.
Context.ai став точкою входу. Аналіз OX Security виявив, що співробітник Vercel встановив розширення для браузера Context.ai та увійшов до нього, використовуючи корпоративний обліковий запис Google Workspace, надавши широкі OAuth-дозволи. Коли Context.ai було зламано, зловмисник успадкував доступ співробітника до Workspace, перемістився до систем Vercel і підвищив привілеї, просіюючи змінні середовища, які не були позначені як «конфіденційні». Бюлетень Vercel стверджує, що змінні, позначені як конфіденційні, зберігаються таким чином, що унеможливлює їхнє прочитання. Змінні без такого позначення були доступні у відкритому вигляді через панель керування та API, і зловмисник використав їх як шлях для ескалації прав.
Генеральний директор Гільєрмо Раух описав зловмисника як «дуже винахідливого і, я глибоко підозрюю, значно прискореного за допомогою ШІ». Джеймі Бласко, технічний директор Nudge Security, незалежно виявив другу OAuth-грант, пов’язану з розширенням Context.ai для Chrome, що відповідає клієнтському ID з опублікованих Vercel індикаторів компрометації (IOC) до публічної заяви Рауха. The Hacker News повідомив, що Google видалив розширення Context.ai з Chrome Web Store 27 березня. За даними The Hacker News та Nudge Security, це розширення містило другу OAuth-грант, яка надавала доступ до читання файлів Google Drive користувачів.
Пацієнт нуль. Чіт для Roblox та зараження Lumma Stealer
Компанія Hudson Rock опублікувала 13 травня докази розслідування, повідомивши, що джерело витоку даних сягає зараження Lumma Stealer у лютому 2026 року на комп’ютері співробітника Context.ai. Згідно з Hudson Rock, історія браузера свідчить про завантаження співробітником скриптів автоферми Roblox та експойлерів ігор. Зібрані облікові дані включали логіни Google Workspace, ключі Supabase, токени Datadog, облікові дані Authkit та обліковий запис [email protected]. Hudson Rock ідентифікував зараженого користувача як ключового члена «context-inc», клієнта Context.ai на платформі Vercel, який мав адміністративний доступ до панелей керування змінними середовища виробничого середовища.
Context.ai опублікував власний бюлетень у неділю (оновлено в понеділок), розкривши, що витік даних стосується його застарілого споживчого продукту AI Office Suite, а не його корпоративного рішення Bedrock (продукт інфраструктури агентів Context.ai, не пов’язаний з AWS Bedrock). Context.ai стверджує, що виявив несанкціонований доступ до свого середовища AWS у березні, найняв CrowdStrike для розслідування та зупинив роботу середовища. Їхній оновлений бюлетень потім розкрив, що масштаб був ширшим, ніж спочатку розумілося: зловмисник також скомпрометував OAuth-токени для споживчих користувачів, і один з цих токенів відкрив двері до Google Workspace Vercel.
Час перебування зловмисника в системі (dwell time) — це деталь, яка має хвилювати директорів з безпеки. Між виявленням Context.ai у березні та розкриттям інформації Vercel у неділю минуло майже місяць. Окремий аналіз Trend Micro посилається на вторгнення, що розпочалося ще в червні 2024 року — висновок, який, якщо він буде підтверджений, продовжить час перебування зловмисника приблизно до 22 місяців. VentureBeat не зміг незалежно узгодити цю часову шкалу з даними Hudson Rock від лютого 2026 року; Trend Micro не відповіла на запит про коментар до публікації.
Де виявлення стає сліпим
Директори з безпеки можуть використовувати цю таблицю для оцінки свого стеку виявлення на тлі чотириступінчастого ланцюга атак, який експлуатував цей витік даних.
|
Етап ланцюга атак |
Що сталося |
Хто мав би виявити |
Типове покриття |
Прогалина |
|
1. Інфостилер на пристрої співробітника |
Співробітник Context.ai завантажив скрипти для чітів Roblox; Lumma Stealer викрав облікові дані Workspace, ключі Supabase/Datadog/Authkit. |
EDR на кінцевій точці; моніторинг витоку облікових даних. |
Низьке. Пристрій, ймовірно, недостатньо моніториться. Більшість організацій не моніторять журнали інфостилерів. |
Більшість підприємств не підписуються на стрічки розвідки інфостилерів і не співставляють журнали інфостилерів з доменами електронної пошти співробітників. |
|
2. Компрометація AWS у Context.ai |
Зловмисник використав викрадені облікові дані для доступу до AWS Context.ai. Виявлено в березні. |
Безпека хмари Context.ai; AWS CloudTrail. |
Частково виявлено. Context.ai зупинив доступ до AWS, але пропустив витік OAuth-токенів. |
Початкове розслідування не виявило витоку OAuth-токенів. Масштаб був недооцінений до розкриття інформації Vercel. |
|
3. Викрадення OAuth-токенів у Vercel Workspace |
Скомпрометований OAuth-токен був використаний для доступу до Google Workspace співробітника Vercel. Співробітник надав дозволи «Дозволити все» через розширення Chrome. |
Журнали аудиту Google Workspace; моніторинг OAuth-додатків; CASB. |
Дуже низьке. Більшість організацій не моніторять патерни використання сторонніх OAuth-токенів. |
Жоден робочий процес затвердження не перехопив надання дозволу. Відсутність виявлення аномалій у використанні OAuth-токенів з скомпрометованої сторонньої сторони. Це той етап, який ніхто не бачив. |
|
4. Бічний рух до виробничих систем Vercel |
Зловмисник перерахував неконфіденційні змінні середовища (доступні через панель керування/API), викрав облікові дані клієнтів. |
Журнали аудиту платформи Vercel; поведінкова аналітика. |
Помірне. Vercel виявив вторгнення після того, як зловмисник отримав доступ до облікових даних клієнтів. |
Виявлення відбулося після витоку, а не до нього. Доступ до змінних середовища з скомпрометованого облікового запису Workspace не викликав сповіщення в реальному часі. |
Що підтверджено, а що заявлено
Бюлетень Vercel підтверджує несанкціонований доступ до внутрішніх систем, обмежений набір уражених клієнтів та два індикатори компрометації (IOC), пов’язані з OAuth-додатками Context.ai для Google Workspace. Раух підтвердив, що Next.js, Turbopack та проєкти з відкритим кодом Vercel не постраждали.
Окремо, зловмисник, який використовує ім’я ShinyHunters, опублікував на BreachForums заяву про те, що він володіє внутрішньою базою даних Vercel, обліковими записами співробітників та токенами GitHub і NPM, пропонуючи їх за 2 мільйони доларів. Остін Ларсен, провідний аналітик загроз у Google Threat Intelligence, оцінив заявника як «ймовірно, самозванця». Зловмисники, раніше пов’язані з ShinyHunters, заперечували свою причетність. Жодна з цих заяв не була незалежно перевірена.
Шість провалів управління, виявлених витоком Vercel
1. OAuth-дозволи інструментів ШІ залишаються неаудованими. Власний бюлетень Context.ai стверджує, що співробітник Vercel надав дозволи «Дозволити все», використовуючи корпоративний обліковий запис. Більшість команд безпеки не мають інвентаризації інструментів ШІ, яким співробітники надали доступ через OAuth.
Технічний директор CrowdStrike Еліа Зайцев на RSAC 2026 прямо заявив: «Не надавайте агенту доступ до всього лише тому, що ви ліниві. Надайте йому доступ лише до того, що йому потрібно для виконання роботи». Джефф Поллард, віце-президент та провідний аналітик Forrester, сказав Cybersecurity Dive, що атака є нагадуванням про ризики, пов’язані з керуванням сторонніми ризиками, та дозволами для інструментів ШІ.
2. Класифікація змінних середовища виконує реальну роботу з безпеки. Vercel розрізняє змінні, позначені як «конфіденційні» (зберігаються таким чином, що унеможливлює їх прочитання), та ті, що не мають такого позначення (доступні у відкритому вигляді через панель керування та API). Зловмисники використали доступні змінні як шлях для ескалації. Перемикач зручності для розробника визначив масштаб ураження. Vercel згодом змінив налаштування за замовчуванням: нові змінні середовища тепер за замовчуванням є конфіденційними.
«Сучасні засоби контролю розгортаються, але якщо старі токени чи ключі не скасовуються, система тихо надає їм перевагу», — повідомила VentureBeat Мерріт Беар, CSO в Enkrypt AI та колишній заступник CISO в AWS.
3. Ланцюги ескалації від інфостилера до SaaS до ланцюжка постачання не мають покриття виявлення. Звіт Hudson Rock розкриває ланцюг атак, який охопив чотири межі організацій. Жоден окремий рівень виявлення не охоплює цього ланцюга. Оновлений бюлетень Context.ai визнав, що масштаб виходив за межі того, що було початково виявлено під час його розслідування під керівництвом CrowdStrike.
4. Час перебування між виявленням постачальником та сповіщенням клієнта перевищує часові рамки зловмисника. Context.ai виявив компрометацію AWS у березні. Vercel розкрив інформацію в неділю. Кожен CISO повинен запитати своїх постачальників: який термін сповіщення за контрактом після виявлення несанкціонованого доступу, який може вплинути на подальших клієнтів?
5. Сторонні інструменти ШІ — це новий тіньовий ІТ. Бюлетень Vercel описує Context.ai як «невеликий сторонній інструмент ШІ». Аналіз 23 000 SaaS-середовищ від Grip Security у березні 2026 року виявив 490% зростання атак, пов’язаних зі ШІ, порівняно з минулим роком. Vercel — остання компанія, яка зіткнулася з цим на власному досвіді.
6. Атаки, прискорені ШІ, скорочують часові рамки реагування. Оцінка Рауха про прискорення за допомогою ШІ базується на спостереженнях його команди з реагування на інциденти. Звіт CrowdStrike Global Threat Report 2026 року встановлює базовий показник середнього часу прориву для eCrime у 29 хвилин, що на 65% швидше, ніж у 2024 році.
План дій для директорів з безпеки
|
Поверхня атаки |
Що вийшло з ладу |
Рекомендована дія |
Відповідальний |
|
Управління OAuth |
Context.ai мав широкі дозволи Workspace «Дозволити все». Жоден робочий процес затвердження не перехопив. |
Провести інвентаризацію всіх наданих організацією OAuth-дозволів для інструментів ШІ. Скасувати дозволи, що перевищують мінімальні привілеї. Перевірити як Vercel IOC вже зараз. |
Ідентифікація / IAM |
|
Класифікація змінних середовища |
Змінні, не позначені як «конфіденційні», залишалися доступними. Доступність стала шляхом ескалації. |
За замовчуванням встановлювати значення «нечитабельно». Вимагати схвалення безпеки для зниження рівня будь-якої змінної до доступної. |
Платформна інженерія + безпека |
|
Від інфостилера до ланцюжка постачання |
Ланцюг атак охопив Lumma Stealer, AWS Context.ai, OAuth-токени, Vercel Workspace та виробничі середовища. |
Співставляти стрічки розвідки щодо інфостилерів з доменами співробітників. Автоматизувати ротацію облікових даних, коли вони з’являються в журналах інфостилерів. |
Аналітика загроз + SOC |
|
Затримка сповіщення від постачальника |
Майже місяць між виявленням Context.ai та розкриттям Vercel. |
Включати в усі контракти, що передбачають інтеграцію OAuth або ідентифікації, пункти про сповіщення протягом 72 годин. |
Управління сторонніми ризиками / юридичний відділ |
|
Тіньове впровадження ШІ |
Несанкціонований інструмент ШІ одного співробітника став вектором витоку для сотень організацій. |
Розширити виявлення тіньового ІТ на платформи агентів ШІ. Ставитися до несанкціонованого впровадження як до події безпеки. |
Операції безпеки + відділ закупівель |
|
Швидкість бічного руху |
Раух підозрює прискорення за допомогою ШІ. Зловмисник скоротив вікно між отриманням доступу та ескалацією. |
Скоротити SLA виявлення-ізоляції нижче середнього показника eCrime у 29 хвилин. |
SOC + команда реагування на інциденти |
Виконайте перевірку обох IOC сьогодні
Перегляньте консоль адміністратора Google Workspace (Безпека > Керування API > Керування доступом сторонніх додатків) на наявність двох ID OAuth-додатків.
Перший: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com, пов’язаний з Office Suite від Context.ai.
Другий: 110671459871-f3cq3okebd3jcg1lllmroqejdbka8cqq.apps.googleusercontent.com, пов’язаний з розширенням Chrome від Context.ai, яке надає доступ до читання Google Drive.
Якщо будь-який з них торкнувся вашого середовища, ви перебуваєте в зоні ризику, незалежно від того, що Vercel розкриє далі.
Що це означає для директорів з безпеки
На мить забудьте про назву бренду Vercel. Те, що сталося тут, є першим значним доказом того, що інтеграції OAuth з агентами ШІ створюють клас загроз, які більшість корпоративних програм безпеки не можуть виявити, оцінити або контролювати. Завантаження чіта для Roblox у лютому призвело до доступу до виробничої інфраструктури у квітні. Чотири межі організацій, два хмарних провайдери та один периметр ідентифікації. Жодного zero-day не потрібно.
У більшості підприємств співробітники підключили інструменти ШІ до корпоративних екземплярів Google Workspace, Microsoft 365 або Slack з широкими OAuth-дозволами — без відома команд безпеки. Витік даних Vercel є прикладом того, як виглядає така вразливість, коли її першим знаходить зловмисник.
Як захиститися (Порада ІТ-Блогу): Ретельно перевіряйте дозволи, які ви надаєте будь-яким стороннім додаткам, особливо тим, що базуються на ШІ. Обмежуйте доступ лише необхідними функціями (принцип найменших привілеїв). Впроваджуйте двофакторну автентифікацію для всіх облікових записів, щоб ускладнити зловмисникам несанкціонований доступ, навіть якщо їхні облікові дані будуть викрадені.
Оригінал статті: venturebeat.com