Vercel dijo el miércoles que identificó un conjunto de cuentas de clientes adicionales que fueron comprometidas como parte de un incidente de seguridad que permitió el acceso no autorizado a sus sistemas internos.
La compañía dijo que hizo el descubrimiento después de ampliar su investigación para incluir un conjunto adicional de indicadores de compromiso, además de examinar las solicitudes a la red Vercel y los eventos de lectura de variables de entorno en los registros.
«En segundo lugar, descubrimos una pequeña cantidad de cuentas de clientes no relacionadas con este incidente y con evidencia de compromiso previo como resultado de ingeniería social, malware u otras técnicas», dijo la compañía en una actualización.
En ambos casos, Barthel dijo que notificó a los afectados. No se reveló el número exacto de clientes afectados.
El desarrollo se produce después de que la compañía que creó el marco Next.js admitiera que la violación se produjo debido a un compromiso de Context.ai después de que un empleado de Vercel lo usara, lo que permitió a los atacantes tomar el control de una cuenta de Google Workspace y usarla para acceder a cuentas de Vercel.
«A partir de ahí, pudieron migrar al entorno de Vercel y luego manipular el sistema para enumerar y descifrar variables de entorno no sensibles», dijo Vercel.
Una investigación adicional realizada por Hudson Rock reveló que uno de sus empleados de Context.ai fue infectado con Lumma Stealer en febrero de 2026 después de buscar scripts agrícolas automatizados de Roblox y ejecutores de exploits de juegos. Esto indica que este evento pudo haber sido el «Paciente Cero» que desencadenó toda la cadena de acciones maliciosas.
«Ahora sabemos que este actor de amenazas estuvo activo más allá de la infracción de esa startup (refiriéndose a Context.ai)», dijo el CEO de Vercel, Guillermo Rauch, en una publicación en X. «La inteligencia de amenazas indica que distribuyen malware a las computadoras en busca de tokens valiosos, como claves de cuentas de Vercel u otros proveedores».
No está claro si el uso de Context AI Office Suite por parte de los empleados de Vercel está autorizado o es un ejemplo de IA en la sombra. Shadow AI se refiere al uso no autorizado de herramientas de inteligencia artificial (IA) dentro de aplicaciones SaaS sin una revisión o investigación formal de TI, lo que expone a las organizaciones a riesgos imprevistos. Desde entonces, Context.ai ha dejado de utilizar AI Office Suite.
«La integración de OAuth es útil porque reduce la fricción», afirma Tanium. «Estos también son peligrosos porque pueden heredar la confianza de los usuarios y las organizaciones. Si un atacante explota una integración autorizada, podría eludir algunos de los controles en los que confía su equipo para comprometer directamente su cuenta».
«Lo que destaca operativamente no es la cantidad de datos expuestos, sino la velocidad y la capacidad del atacante para enumerar el entorno interno antes de ser detectado. Esto cambia el trabajo del defensor. El desafío pasa de la defensa a un alcance rápido y a reducir el radio de la explosión».
Source link
