Vercel confirma que el ciberataque afecta a más clientes y sistemas de terceros

El ataque se extiende más allá de lo inicialmente previsto

Vercel ha anunciado que el impacto de un ciberataque en sus sistemas internos ha afectado a un número mayor de clientes del que se conocía hasta ahora. Tras un análisis en curso, la compañía ha detectado nuevas evidencias de compromiso en cuentas de usuarios.

La empresa, que desarrolla herramientas y alberga infraestructura en la nube para desarrolladores, mantiene que solo un número reducido de cuentas se han visto afectadas. Sin embargo, aún no ha proporcionado cifras concretas ni un rango de incidentes asociados al ataque.

Vercel y su ecosistema de proyectos de código abierto

Entre sus proyectos más destacados se encuentra Next.js, una plataforma que respalda agentes de IA y que se descarga más de 9 millones de veces por semana. La compañía, liderada por el CEO Guillermo Rauch, ha analizado casi un petabyte de registros en su red y API.

Según Rauch, la actividad maliciosa detectada no se limita al ataque inicial que se originó en Context.ai, un proveedor externo. «La inteligencia sobre amenazas apunta a la distribución de malware en equipos en busca de tokens valiosos, como claves de cuentas de Vercel y otros proveedores», explicó en un mensaje en la plataforma X.

Una vez que el atacante obtiene estas claves, los registros muestran un patrón recurrente: un uso intensivo y rápido de la API, centrado en la enumeración de variables de entorno no sensibles.

El riesgo de los sistemas interconectados y las vulnerabilidades de confianza

El incidente pone de manifiesto los riesgos asociados a los sistemas interconectados que dependen de tokens OAuth, relaciones de confianza y permisos excesivos entre múltiples servicios.

«La vulnerabilidad real no era tecnológica, sino de confianza», declaró Munish Walther-Puri, responsable de infraestructura digital crítica en TPO Group, a CyberScoop. «OAuth convirtió una aplicación de productividad en una puerta trasera. Cada herramienta de IA que un empleado conecta a su cuenta laboral se convierte en una posible superficie de ataque».

El atacante logró acceder a los sistemas internos de Vercel para robar y descifrar datos de clientes, incluyendo variables de entorno almacenadas, lo que representa un riesgo significativo aguas abajo.

Origen del ataque y evolución del incidente

La compañía insiste en que la brecha se originó en Context.ai, una herramienta de IA de terceros utilizada por uno de sus empleados. Investigadores de Hudson Rock señalaron que los primeros indicios del ataque se remontan a febrero, cuando un empleado de Context.ai infectó su equipo con el malware Lumma Stealer tras buscar exploits de juegos de Roblox, un vector común para la distribución de infostealers.

Vercel no ha especificado qué sistemas ni qué datos de clientes se han visto comprometidos, ni ha detallado las medidas adoptadas para erradicar o contener la amenaza. La compañía asegura que no ha detectado manipulaciones en los paquetes de software que publica, concluyendo que «creemos que la cadena de suministro sigue siendo segura».

En un comunicado de seguridad actualizado, Vercel reveló además la identificación de un número reducido de clientes que fueron comprometidos en ataques no relacionados con la brecha de sus sistemas. «Estos compromisos no parecen tener su origen en los sistemas de Vercel», aclaró la compañía. «Esta actividad no parece ser una continuación ni expansión del incidente de abril, ni evidencia de un incidente de seguridad previo en Vercel».

Queda por determinar cómo Vercel tomó conocimiento de estos ataques y por qué los hace públicos. La compañía se negó a responder preguntas adicionales, y Mandiant, que está llevando a cabo la respuesta al incidente y la investigación, remitió las consultas de vuelta a Vercel. Hasta el momento, Vercel no ha atribuido el ataque a ningún grupo de amenazas conocido.