Всё больше пользователей попадают в зону поражения эксплойта Vercel

Инцидент с безопасностью Vercel в апреле 2026 года продолжает выходить за рамки первоначальных заявлений. Инцидент, который, по словам Vercel, затронул «ограниченную группу клиентов», теперь распространился на значительно более широкое сообщество разработчиков, особенно тех, кто создаёт рабочие процессы для ИИ-агентов. 

В своём недавнем бюллетене безопасности от 19 апреля, который обновлялся по мере проведения расследования, Vercel утверждает, что разработчики, использующие наборы сторонних API ключей, учётные данные провайдеров LLM и вызовы инструментов, более уязвимы к подобным атакам.

Как произошла утечка?

Вопреки предположениям пользователей, Vercel не был начальной точкой проникновения; компания была скомпрометирована, когда сотрудник Context.ai с расширенными привилегиями доступа подвергся взлому через заражение вредоносным ПО Lumma Stealer. 

Взлом произошёл, когда сотрудник загрузил скрипт Roblox Auto-farm и инструменты для взлома игр, которые являются основными способами распространения данного вредоносного ПО. Это привело к краже пользовательских данных, включая данные для входа в Google Workspace и другие ключи доступа к платформам, таким как Supabase, Datadog и Authkit. 

Затем злоумышленник воспользовался украденным токеном OAuth для получения доступа к аккаунту Vercel в Google Workspace. Хотя Vercel не является пользователем Context.ai, один из их сотрудников имел аккаунт на этой платформе, созданный с использованием корпоративного аккаунта Vercel, и, что хуже всего, одобрил разрешения «разрешить всё». 

Ситуацию усугубило то, что Vercel включил эти широкие разрешения в своей среде Google Workspace, тем самым облегчив доступ. 

Оказавшись внутри, злоумышленник приступил к расшифровке нечувствительных переменных среды, хранящихся в системе. Однако ему не удалось получить доступ к конфиденциальным данным, так как Vercel хранит эти переменные среды таким образом, который предотвращает их несанкционированный доступ. 

Что это означает для разработчиков ИИ-агентов?

Для разработчиков проблема заключается скорее в масштабах воздействия, чем в том, что было зафиксировано как похищенное. Большинство разработчиков обеспокоены тем, что их рабочие процессы, связанные с учётными данными в обычных переменных среды, могут оказаться под угрозой из-за этой утечки. Это связано с тем, что большинство разработчиков на Vercel обычно хранят важные ключи доступа в своих средах развёртывания. 

Более того, проекты на базе ИИ могут одновременно содержать API ключ OpenAI или Anthropic, строку подключения к векторной базе данных, секрет webhook и токен стороннего инструмента, которые не помечаются системой как конфиденциальные, поскольку это требует ручного вмешательства разработчика. 

Для устранения последствий инцидента Vercel обновил свой продукт таким образом, что все вновь созданные переменные среды по умолчанию помечаются как конфиденциальные и могут быть сделаны неконфиденциальными только самим разработчиком. Хотя это шаг в правильном направлении, он не компенсирует переменные, которые были похищены до внесения изменений.

Каков масштаб атаки?

По данным Vercel, атака может затронуть сотни пользователей в нескольких организациях — не только в собственных системах компании, но и во всей технологической отрасли. Это связано с тем, что приложение OAuth, использованное в атаке, не было ограничено только Vercel. 

Чтобы снизить последствия атаки, служба безопасности Vercel опубликовала уникальный идентификатор скомпрометированного приложения OAuth, призвав администраторов Google Workspace и владельцев аккаунтов Google проверить, имело ли оно доступ к их системам. 

Кроме того, Context.ai при содействии технического директора Nudge Security Хайме Бласко также обнаружил ещё одно разрешение OAuth, содержащее доступ к Google Drive. Чтобы предотвратить дальнейший ущерб, Context.ai незамедлительно уведомил всех затронутых клиентов и предоставил необходимые шаги для предотвращения новых утечек.

Самые умные умы в крипто уже читают нашу рассылку. Хотите присоединиться? Вступайте.