Ключевые выводы
- Vercel столкнулся с двойным компроментом: сначала через приложение Context AI, затем – самостоятельным инфостилером, заражающим компьютеры сотрудников.
- Злоумышленники получили доступ к нешифрованным учетным данным клиентов и использовали их для массового перебора API‑ключей.
- Компания признала, что некоторые компрометированные аккаунты предшествовали основному взлому, что расширяет временные рамки инцидента.
Vercel, один из лидеров облачного хостинга, подтвердил, что утечка данных может быть шире, чем предполагалось в начале апреля 2026 года. Причиной стали не только уязвимости в приложении стартапа Context AI, но и инфостилер‑мальварь, способный красть токены доступа из рабочих станций сотрудников.
Что произошло: хронология событий
В начале апреля 2026 года сотрудники Vercel начали замечать подозрительные входы в систему. Первоначально компания заявила, что злоумышленники получили доступ через приложение, разработанное стартапом Context AI, скачанное одним из сотрудников Vercel. Этот «человек‑мост» открыл путь к внутренним сервисам компании.
Через несколько дней Vercel разместила обновление на странице Security Incident. В нем говорилось о новых доказательствах активной злонамеренной деятельности, предшествующей первоначальному взлому. По словам CEO Гильермо Рауха, речь шла о «социальной инженерии, малвари или иных методах», которые могли скомпрометировать небольшое количество клиентских аккаунтов ещё до апреля.
В дополнение к этому Vercel сообщила, что выявила ещё несколько пострадавших клиентов, но детали оставила закрытыми.
Именно в этот момент в публичных комментариях Раух подтвердил, что злоумышленники «выходили за пределы компрометации Context AI», указывая на более широкую кампанию инфостилеров.
Как инфостилер из Context AI открывал доступ
Исследователи безопасности проследили, что на компьютере сотрудника Context AI была установлена инфостилер‑мальварь после того, как пользователь искал «cheats» для игры Roblox. Инфостилер, маскируясь под легитимный софт, собирает конфиденциальные данные: пароли, токены доступа, API‑ключи.
Собранные токены позволяют «похитителю» зайти в любые сервисы, где они использовались – в том числе Vercel, где были сохранены нешифрованные учетные записи клиентов. Как отметил Раух, после получения токенов злоумышленники начали «быстрый и всесторонний запрос API», пытаясь перечислить даже не чувствительные переменные окружения.
Эти действия подтверждают типичный паттерн инфостилеров: после кражи токенов они массово сканируют облачные проекты в поисках ценных артефактов (секреты, ключи, конфигурации).
Ключевой момент – отсутствие шифрования клиентских учетных данных «на уровне базы», что облегчило задачу злоумышленникам.
Последствия для клиентов Vercel
Пока точное число затронутых компаний неизвестно. Vercel уведомила лишь тех клиентов, чьи аккаунты уже подтверждены как скомпрометированные. Тем не менее, учитывая, что инфостилер мог работать "в поисках ценных токенов" задолго до апреля, риски могут охватывать более широкий круг пользователей.
Для большинства клиентов утечка означает потенциальную возможность кражи кода, подмены развернутых приложений и доступа к приватным данным, хранящимся в среде Vercel. Особенно уязвимыми оказываются компании, использующие Vercel как единственную точку входа для CI/CD и хранилища переменных окружения.
Эксперты советуют, во-первых, немедленно ревокировать все токены доступа, связанные с Vercel, и пересоздать пароли. Во‑вторых, включить двухфакторную аутентификацию (2FA) для всех сотрудников, работающих с облачными сервисами.
Наконец, важно внедрять «секрет‑менеджмент» — хранить чувствительные данные в специализированных хранилищах, где они автоматически шифруются и ограничивается доступ.
Почему Vercel не раскрывает полных цифр
Компания указала, что не может подтвердить точное количество пострадавших или время начала «второго» компромета. Это типичная практика в отрасли: раскрытие информации может помочь злоумышленникам уточнить свои атаки, а также избежать паники среди клиентов.
Тем не менее, отсутствие полной прозрачности поднимает вопросы о готовности Vercel к реагированию на подобные инциденты. Ключевой показатель – наличие программы «bug bounty», которая, к счастью, у Vercel действует, но, судя по масштабу текущего взлома, требуется усиление процедур внутреннего аудита.
Что значит «инфостилер» и как защититься
Термин «инфостилер» (англ. info‑stealer) относится к малвари, специализирующейся на кражe информации: логинов, паролей, токенов API, файлов cookie и т.п. Часто такие программы распространяются через фишинговые ссылки, вредоносные расширения браузера или, как в случае с Context AI, через «безобидные» утилиты.
Защита от инфостилеров включает несколько слоёв:
- Обновление ОС и приложений – многие инфостилеры эксплуатируют известные уязвимости.
- Антивирус/EDR‑решения, способные обнаружить подозрительное поведение (массовый сбор токенов).
- Сегментация доступа: ограничить привилегии учетных записей, особенно тех, кто работает с облачными сервисами.
- Контроль за загрузкой сторонних приложений – в идеале, использовать whitelist.
- Обучение персонала методам социальной инженерии.
Эти шаги снижают вероятность того, что одна скачанная «утилита» откроет дверь к целому облачному окружению.
Взгляд в будущее: как индустрия реагирует на новые угрозы
Случай Vercel подчёркивает, что цепочки поставок (supply chain) становятся главной мишенью киберпреступников. Даже если основной сервис построен над надёжной инфраструктурой, уязвимость в стороннем продукте может стать «золотой жилой» для хакеров.
Ожидается рост интереса к «Zero‑Trust» моделям, где любой запрос проходит строгую проверку независимо от его происхождения. Для провайдеров вроде Vercel это будет означать усиленный мониторинг аномального API‑трафика, автоматический откат токенов при подозрительном поведении и, возможно, обязательное шифрование всех клиентских секретов.
Для пользователей главное – не полагаться полностью на безопасность провайдера, а выстраивать собственные «defense‑in‑depth» (многоуровневую защиту) стратегии.
Справка
Vercel – американская компания, основанная в 2015 году братьями Гилем и Гоцем Осака. Специализируется на облачном хостинге статических сайтов и сервер‑сайд рендеринга. Среди клиентов – Netflix, GitHub и Hulu.
Guillermo Rauch – со‑основатель и CEO Vercel, известный разработчик JavaScript‑экосистемы, автор проекта Next.js. Активно продвигает идеи сервер‑лесс и edge‑computing.
Context AI – стартап, занимающийся AI‑инструментами для разработчиков. В 2026 году стал объектом кибератаки, после чего был обвинён в распространении инфостилера.
Infostealer (инфостилер) – тип вредоносного ПО, цель которого – кража конфиденциальных данных, обычно токенов, логинов и паролей. Часто маскируется под легитимные программы.
API‑ключи и токены доступа – секретные строки, позволяющие программам взаимодействовать с сервисами без ввода логина/пароля. Их компрометация даёт злоумышленнику прямой доступ к ресурсам.
Zero‑Trust security – модель безопасности, где ни один пользователь или устройство не считается доверенным по умолчанию; каждый запрос проверяется.
Итоги: Vercel столкнулся с настоящей «цепочкой» атак, где уязвимость в стороннем приложении привела к масштабному компромету аккаунтов. Для бизнеса это сигнал пересмотреть свои процессы защиты токенов и внедрить многоуровневую проверку доступа.
