ВЕКТОР АТАКИ
OAuth
Компрометация OAuth-токена стороннего ИИ-инструмента
→ Context.ai → Google Workspace → Vercel
ДАННЫЕ ПОД УГРОЗОЙ
Env-переменные
Несекретные переменные окружения скомпрометированы
↓ Секретные (зашифрованные) переменные — доказательств доступа нет
ЗАПРАШИВАЕМАЯ ЦЕНА
$2 млн
Группировка ShinyHunters выставила украденные данные на продажу
↑ Сложный атакующий с глубоким знанием систем Vercel
ПЕРВОПРИЧИНА
Стилер
Lumma Stealer на устройстве сотрудника Context.ai
↑ Заражение в феврале 2026 запустило всю цепочку
Как разворачивалась атака — шаг за шагом
Взлом начался не в Vercel. Он начался несколькими месяцами ранее с заражения устройства сотрудника Context.ai вредоносным ПО.
В феврале 2026 года компания Hudson Rock обнаружила, что сотрудник Context.ai был скомпрометирован с помощью Lumma Stealer — коммерческого инфостилера, продаваемого на криминальных форумах. Среди украденных данных оказались учётные записи Google Workspace, ключи Supabase, токены Datadog и логины Authkit. Аккаунт «support@context.ai» также был в списке.
Судя по всему, сотрудник скачивал скрипты «авто-фарма» для Roblox — классический вектор доставки Lumma Stealer. Получив учётные данные, злоумышленник в марте 2026 года проник в AWS-среду Context.ai.
Context.ai сообщила, что обнаружила и заблокировала вторжение — однако злоумышленник уже собрал OAuth-токены пользователей продукта, включая как минимум одного сотрудника Vercel, который зарегистрировался с корпоративным аккаунтом Google и выдал разрешение «Allow All».
Пивот: из Context.ai в Vercel
Имея живой OAuth-токен, привязанный к аккаунту Google Workspace сотрудника Vercel, злоумышленник напрямую пробрался во внутренние системы Vercel.
По данным Vercel, атакующий получил доступ к переменным окружения, не помеченным как «секретные». Переменные, помеченные как sensitive, хранятся в зашифрованном виде и не могут быть прочитаны даже сотрудниками Vercel — компания заявляет, что доказательств их компрометации нет.
Vercel охарактеризовала злоумышленника как «сложного» — ссылаясь на его операционную скорость и детальное понимание систем Vercel.
| Этап | Что произошло | Когда |
|---|---|---|
| 1. Первичное заражение | Lumma Stealer установлен на устройство сотрудника Context.ai через загрузку вредоносного скрипта для игры | Фев 2026 |
| 2. Кража учётных данных | Похищены учётные записи Google Workspace, Supabase, Datadog, Authkit — включая support@context.ai | Фев 2026 |
| 3. Вторжение в AWS | Атакующий получает несанкционированный доступ к AWS-среде Context.ai | Март 2026 |
| 4. Кража OAuth-токенов | Собраны OAuth-токены пользователей Context.ai, в том числе корпоративный токен сотрудника Vercel | Март 2026 |
| 5. Захват Google Workspace | Злоумышленник использует токен для захвата аккаунта Google Workspace сотрудника Vercel | Апрель 2026 |
| 6. Доступ к переменным Vercel | Доступ к внутренним средам Vercel; прочитаны несекретные переменные окружения | Апрель 2026 |
| 7. Публичное раскрытие | Vercel публикует бюллетень безопасности; ShinyHunters заявляет об ответственности, предлагая данные за $2 млн | 20 апр 2026 |
ShinyHunters и листинг за $2 миллиона
Угрозу под именем ShinyHunters — группировки, связанной с громкими взломами, включая Ticketmaster в 2024 году, — взяла на себя ответственность за взлом Vercel и, по имеющимся данным, выставила украденные данные на продажу за $2 миллиона.
Vercel не подтвердила, какие именно данные были похищены и сколько клиентов пострадало. «Ограниченное количество» клиентов получили прямые уведомления с инструкцией немедленно сменить учётные данные.
Компания работает с Mandiant (дочерняя структура Google), другими компаниями в области кибербезопасности и правоохранительными органами, а также взаимодействует с Context.ai для установления полного масштаба инцидента.
Что пользователям Vercel нужно сделать прямо сейчас
Vercel опубликовала официальные рекомендации. Вот полный чеклист.
Проверьте журнал активности Vercel
Зайдите на vercel.com/activity-log и ищите неожиданные деплои, чтение переменных окружения или подозрительные паттерны доступа.
Проведите аудит и ротацию несекретных переменных
Если переменная окружения содержит секрет (API-ключ, строку подключения к БД, токен вебхука) и НЕ помечена как sensitive — смените её немедленно.
Пометьте все секреты как sensitive
Sensitive-переменные хранятся в зашифрованном виде и недоступны даже аутентифицированным злоумышленникам. Любой секрет без этой пометки — уязвимость.
Проверьте последние деплои
Просмотрите деплои за последние 30 дней. Включите Deployment Protection на уровне Standard как минимум.
Ротируйте токены Deployment Protection
Если вы используете Protection Bypass-токены для автоматизации — смените их и проверьте, где хранятся текущие значения.
Проверьте OAuth-приложение Context.ai в Google Workspace
Если ваша команда использует Google Workspace, найдите OAuth client ID: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com — при обнаружении немедленно отзовите доступ.
Главный урок: сторонние ИИ-инструменты — новая поверхность атаки
Этот взлом начался не с уязвимости в Vercel. Он начался с того, что сотрудник скачал читерский скрипт для игры на личном устройстве — что установило инфостилер на машину с доступом к стороннему ИИ-инструменту с широкими OAuth-правами на корпоративную инфраструктуру.
Эта цепочка — компрометация личного устройства → кража учётных данных → сторонний SaaS → корпоративная система идентификации → производственная инфраструктура — именно та модель, которую государственные акторы и организованные преступные группы оттачивали последние три года.
Поверхность атаки любой компании больше не определяется только теми инструментами, которые она контролирует — она определяется инструментами, которые используют её сотрудники и подрядчики, и теми разрешениями, которые эти инструменты несут.
Генеральный директор Vercel Гильермо Рауш заявил, что Next.js, Turbopack и open source проекты Vercel в безопасности — компания уже выпустила новый инструментарий для управления переменными окружения и настройками sensitive-контроля в ответ на этот инцидент.
Меры защиты, которые разорвали бы эту цепочку
| Мера защиты | Где разрывает цепочку | Сложность |
|---|---|---|
| Белый список OAuth-приложений | Запрещает несанкционированным приложениям подключаться к Google Workspace | Низкая |
| Минимальные OAuth-права | Ограничивает возможности скомпрометированного токена — никакого «Allow All» | Низкая |
| EDR на всех рабочих устройствах | Обнаруживает Lumma Stealer до кражи учётных данных | Средняя |
| Проверка состояния устройства при SSO | Блокирует вход со скомпрометированных или неуправляемых устройств | Средняя |
| Все секреты помечены как sensitive | Шифрование при хранении — недоступно даже аутентифицированному злоумышленнику | Низкая |
| Проверка безопасности сторонних поставщиков | Гарантирует соответствие ИИ-инструментов стандартам безопасности до внедрения | Средняя |
Источники
- Бюллетень безопасности Vercel — апрель 2026 (vercel.com/kb/bulletin/vercel-april-2026-security-incident)
- Обновление безопасности Context.ai — апрель 2026 (context.ai/security-update)
- Hudson Rock — «Vercel Breach Linked to Infostealer Infection at Context AI» (infostealers.com)
- The Hacker News — «Vercel Breach Tied to Context AI Hack Exposes Limited Customer Credentials» — 20 апреля 2026