Tras ampliar su investigación sobre una brecha vinculada a Context.ai,
exponiendo riesgos de OAuth y malware,
Vercel reveló
el miércoles que identificó un conjunto adicional de cuentas de clientes
comprometidas como parte de un
incidente de seguridad que permitió el acceso no autorizado a sus sistemas
internos.
La compañía indicó que realizó el descubrimiento tras ampliar su investigación
para incluir un conjunto adicional de indicadores de compromiso, junto con una
revisión de las solicitudes a la red de Vercel y los eventos de lectura de
variables de entorno en sus registros.
«En segundo lugar, hemos descubierto un pequeño número de cuentas de
clientes con evidencia de compromiso previo, independiente y anterior a este
incidente, posiblemente como resultado de ingeniería social, malware u otros
métodos»,
declaró
la compañía en una actualización.
En ambos casos, Vercel informó que notificó a las partes afectadas. No reveló
el número exacto de clientes afectados.
Este desarrollo se produce después de que la compañía creadora del framework
Next.js reconociera que la brecha se originó con un compromiso de Context.ai
después de que un empleado de Vercel lo utilizara, lo que permitió al atacante
tomar el control de su cuenta de Google Workspace y luego usarla para obtener
acceso a su cuenta de Vercel.
«Desde allí, lograron acceder al entorno de Vercel y, posteriormente,
manipular los sistemas para enumerar y descifrar variables de entorno no
confidenciales», señaló Vercel.
Una investigación posterior realizada por Hudson Rock reveló que uno de los
empleados de Context.ai se infectó con Lumma Stealer en febrero de 2026 tras
buscar scripts de autofarmeo de Roblox y ejecutores de exploits de juegos, lo
que indica que este evento pudo haber sido el «paciente cero» que desencadenó
toda la cadena de acciones maliciosas.
«Ahora sabemos que el atacante ha estado activo incluso después de que
Context.ai se viera comprometida»,
declaró
el CEO de Vercel, Guillermo Rauch, en una publicación de X.
«La información sobre amenazas apunta a la distribución de malware a
ordenadores en busca de tokens valiosos, como claves de cuentas de Vercel y
otros proveedores».
No está claro si el uso de Context AI Office Suite por parte de los empleados
de Vercel estaba autorizado o si se trató de un caso de Shadow IA, que se
refiere al uso no autorizado de herramientas de inteligencia artificial (IA)
dentro de aplicaciones SaaS sin una revisión o verificación formal por parte
del departamento de TI, lo que expone a las organizaciones a riesgos
imprevistos.
Context.ai ya no ofrece soporte
para AI Office Suite.
«Las integraciones de OAuth son útiles porque reducen la fricción»,
afirmó Tanium.
«Pero también son peligrosas porque pueden heredar la confianza del usuario
y de la organización. Cuando los atacantes abusan de una integración
aprobada, pueden eludir algunos de los controles en los que confían los
equipos para evitar el acceso directo a las cuentas».
Lo que destaca desde el punto de vista operativo no es tanto el volumen de
datos expuestos, sino la velocidad de los atacantes y su capacidad para
enumerar los entornos internos antes de ser detectados. Esto cambia el trabajo
de los defensores. El desafío pasa de la prevención a la identificación rápida
del alcance y la reducción del impacto.
Fuente:
THN