Vercel reveló el miércoles que identificó un conjunto adicional de cuentas de clientes que se vieron comprometidas como parte de un incidente de seguridad que permitió el acceso no autorizado a sus sistemas internos.
La compañía dijo que hizo el descubrimiento después de ampliar su investigación para incluir un conjunto adicional de indicadores de compromiso, junto con una revisión de las solicitudes a la red Vercel y los eventos de lectura de variables de entorno en sus registros.
«En segundo lugar, hemos descubierto una pequeña cantidad de cuentas de clientes con evidencia de compromiso previo que es independiente y anterior a este incidente, potencialmente como resultado de ingeniería social, malware u otros métodos», dijo la compañía. dicho en una actualización.
En ambos casos, Vercel dijo que notificó a las partes afectadas. No reveló el número exacto de clientes afectados.
El desarrollo se produce después de que la compañía que creó el marco Next.js reconociera que la violación se originó con un compromiso de Context.ai después de que fuera utilizado por un empleado de Vercel, lo que permitió al atacante tomar el control de su cuenta de Google Workspace y luego usarla para obtener acceso a su cuenta de Vercel.
«A partir de ahí, pudieron pasar a un entorno de Vercel y posteriormente maniobrar a través de sistemas para enumerar y descifrar variables de entorno no sensibles», señaló Vercel.
Una investigación adicional realizada por Hudson Rock reveló que uno de los empleados de Context.ai fue infectado con Lumma Stealer en febrero de 2026 después de buscar scripts de granja automática de Roblox y ejecutores de exploits de juegos, lo que indica que este evento puede haber sido el «paciente cero» que desencadenó toda la cadena de acciones maliciosas.
«Ahora entendemos que el actor de la amenaza ha estado activo más allá del tiempo de esa startup. [referring to Context.ai] compromiso», dijo el director general de Vercel, Guillermo Rauch dicho en una publicación X. «La información sobre amenazas apunta a la distribución de malware a las computadoras en busca de tokens valiosos, como claves de cuentas de Vercel y otros proveedores».
No está claro si el uso de Context AI Office Suite por parte de los empleados de Vercel fue sancionado o fue un caso de IA en la sombraque se refiere al uso no autorizado de herramientas de inteligencia artificial (IA) dentro de aplicaciones SaaS sin una revisión o investigación formal de TI, lo que expone a las organizaciones a riesgos no deseados. Desde entonces, AI Office Suite ha sido obsoleto por Contexto.ai.
«Las integraciones de OAuth son útiles porque reducen la fricción», afirmó Tanium. «También son peligrosos porque pueden heredar la confianza del usuario y de la organización. Cuando los atacantes abusan de una integración aprobada, pueden evitar algunos de los controles en los que confían los equipos para comprometer directamente la cuenta».
«Lo que destaca operativamente es menos el volumen de datos expuestos y más la velocidad y la capacidad de los atacantes para enumerar los entornos internos antes de la detección. Eso cambia el trabajo de los defensores. El desafío pasa de la prevención a la rápida determinación del alcance y la reducción del radio de explosión».
