Tras ampliar su investigación sobre una brecha vinculada a Context.ai, exponiendo riesgos de OAuth y malware, Vercel reveló el miércoles que identificó un conjunto adicional de cuentas de clientes comprometidas como parte de un incidente de seguridad que permitió el acceso no autorizado a sus sistemas internos.
La compañía indicó que realizó el descubrimiento tras ampliar su investigación para incluir un conjunto adicional de indicadores de compromiso, junto con una revisión de las solicitudes a la red de Vercel y los eventos de lectura de variables de entorno en sus registros.
"En segundo lugar, hemos descubierto un pequeño número de cuentas de clientes con evidencia de compromiso previo, independiente y anterior a este incidente, posiblemente como resultado de ingeniería social, malware u otros métodos", declaró la compañía en una actualización.
En ambos casos, Vercel informó que notificó a las partes afectadas. No reveló el número exacto de clientes afectados.
Este desarrollo se produce después de que la compañía creadora del framework Next.js reconociera que la brecha se originó con un compromiso de Context.ai después de que un empleado de Vercel lo utilizara, lo que permitió al atacante tomar el control de su cuenta de Google Workspace y luego usarla para obtener acceso a su cuenta de Vercel.
"Desde allí, lograron acceder al entorno de Vercel y, posteriormente, manipular los sistemas para enumerar y descifrar variables de entorno no confidenciales", señaló Vercel.
Una investigación posterior realizada por Hudson Rock reveló que uno de los empleados de Context.ai se infectó con Lumma Stealer en febrero de 2026 tras buscar scripts de autofarmeo de Roblox y ejecutores de exploits de juegos, lo que indica que este evento pudo haber sido el «paciente cero» que desencadenó toda la cadena de acciones maliciosas.
"Ahora sabemos que el atacante ha estado activo incluso después de que Context.ai se viera comprometida", declaró el CEO de Vercel, Guillermo Rauch, en una publicación de X. "La información sobre amenazas apunta a la distribución de malware a ordenadores en busca de tokens valiosos, como claves de cuentas de Vercel y otros proveedores".
No está claro si el uso de Context AI Office Suite por parte de los empleados de Vercel estaba autorizado o si se trató de un caso de Shadow IA, que se refiere al uso no autorizado de herramientas de inteligencia artificial (IA) dentro de aplicaciones SaaS sin una revisión o verificación formal por parte del departamento de TI, lo que expone a las organizaciones a riesgos imprevistos. Context.ai ya no ofrece soporte para AI Office Suite.
"Las integraciones de OAuth son útiles porque reducen la fricción", afirmó Tanium. "Pero también son peligrosas porque pueden heredar la confianza del usuario y de la organización. Cuando los atacantes abusan de una integración aprobada, pueden eludir algunos de los controles en los que confían los equipos para evitar el acceso directo a las cuentas".
Lo que destaca desde el punto de vista operativo no es tanto el volumen de datos expuestos, sino la velocidad de los atacantes y su capacidad para enumerar los entornos internos antes de ser detectados. Esto cambia el trabajo de los defensores. El desafío pasa de la prevención a la identificación rápida del alcance y la reducción del impacto.
Fuente: THN
No comments:
Post a Comment
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!