Vulnerabilidade expande-se para novos clientes e sistemas terceiros
A Vercel, empresa conhecida por criar e manter a plataforma Next.js e outros projetos open-source, anunciou que o impacto de um ataque a seus sistemas internos atingiu mais clientes do que inicialmente divulgado. A companhia, que fornece ferramentas e infraestrutura em nuvem para desenvolvedores, ainda não revelou o número exato de contas afetadas, mas confirmou que um pequeno número de usuários teve seus dados comprometidos.
Investigação revela padrão de ataques coordenados
O CEO da Vercel, Guillermo Rauch, afirmou em publicação no X (antigo Twitter) que a empresa e seus parceiros analisaram quase um petabyte de logs na rede e API da Vercel. Segundo ele, a atividade maliciosa não se limitou ao ataque inicial, que teria origem no Context.ai, uma ferramenta de IA terceirizada usada por um funcionário.
Rauch descreveu o padrão observado: após obter tokens de acesso, os invasores realizavam chamadas rápidas e extensivas à API, com foco na enumeração de variáveis de ambiente não sensíveis. O objetivo era identificar chaves de acesso a contas da Vercel e outros serviços.
«A inteligência de ameaças indica a distribuição de malware em computadores em busca de tokens valiosos, como chaves de contas da Vercel e de outros provedores. Uma vez obtidas, os invasores exploram permissões excessivas para acessar dados de clientes.»
— Guillermo Rauch, CEO da Vercel
Risco ampliado por dependência excessiva de tokens OAuth
Especialistas destacam que o incidente exemplifica os riscos de sistemas interconectados que dependem de tokens OAuth, permissões excessivas e relações de confiança entre serviços. Munish Walther-Puri, chefe de infraestrutura digital crítica do TPO Group, afirmou ao CyberScoop:
«A vulnerabilidade real não estava na tecnologia, mas na confiança. O OAuth transformou uma ferramenta de produtividade em uma porta dos fundos. Cada ferramenta de IA conectada à conta corporativa de um funcionário representa uma superfície de ataque potencial.»
Origem do ataque e consequências ainda não esclarecidas
A Vercel atribui o ataque inicial ao Context.ai, mas não detalhou quais sistemas ou dados de clientes foram comprometidos. A empresa também não informou se a ameaça foi neutralizada ou contida. Em comunicado, afirmou não ter encontrado evidências de adulteração em seus pacotes de software, concluindo que «a cadeia de suprimentos permanece segura».
Surpreendentemente, a Vercel revelou que identificou um pequeno número de clientes cujas contas foram comprometidas em ataques não relacionados ao incidente principal. Segundo a empresa, esses casos não tiveram origem nos sistemas da Vercel e não parecem estar ligados ao ataque de abril.
«Essa atividade não representa uma continuação ou expansão do incidente de abril, nem evidencia um problema anterior de segurança na Vercel», declarou a empresa. A origem desses novos ataques e o motivo da divulgação pública permanecem desconhecidos. A Vercel não respondeu a questionamentos adicionais, e a Mandiant, responsável pela investigação, encaminhou as perguntas de volta à empresa.
Contexto: como o ataque se iniciou
Pesquisadores da Hudson Rock haviam identificado, em fevereiro, que um funcionário do Context.ai teve seu computador infectado com o malware Lumma Stealer após buscar exploits do jogo Roblox — um vetor comum para disseminação de infostealers. O malware teria permitido o roubo inicial de tokens de acesso, desencadeando o ataque subsequente.
A Vercel não atribuiu o incidente a nenhum grupo específico de ameaças, deixando dúvidas sobre a motivação e a extensão total dos danos.
Pontos-chave do incidente:
- O ataque afetou mais clientes do que inicialmente relatado;
- Invasores exploraram tokens OAuth e permissões excessivas para acessar dados;
- A origem foi atribuída ao Context.ai, mas novos casos não relacionados foram identificados;
- A Vercel não divulgou o número exato de contas comprometidas;
- Não há evidências de adulteração em seus pacotes de software.
Artigos relacionados
Cisco corrige vulnerabilidade crítica explorada por grupo de ameaças persistente
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
AI avançada é classificada como 'guerra revolucionária' pelo Pentágono
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Segurança de identidades se torna prioridade máxima com a IA, alerta autoridade da Casa Branca
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn sofre ataque cibernético e interrompe fábricas na América do Norte
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
App de IA que analisa fezes tenta vender banco de dados com 150 mil imagens de usuários
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
IA supera todas as expectativas em testes de cibersegurança autônoma, revelam pesquisadores
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
Comitê de Segurança Interna dos EUA investiga modelo de IA Mythos da Anthropic e riscos cibernéticos
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
IA Generativa: A Nova Fronteira da Fraude e do Roubo de Identidade
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...