کاربران بیشتری وارد شعاع تأثیر اکسپلویت Vercel می‌شوند

رویداد امنیتی Vercel در آوریل 2026 همچنان فراتر از ادعاهای اولیه گسترش می‌یابد. این رویداد که گفته می‌شد شامل «زیرمجموعه محدودی از مشتریان» Vercel می‌شود، اکنون به جامعه گسترده‌تری از توسعه‌دهندگان، به‌ویژه آن‌هایی که گردش‌کارهای AI Agent می‌سازند، تسری یافته است. 

در بولتن امنیتی اخیر آن در 19 آوریل، که در طول تحقیقات جاری به‌روزرسانی شده است، Vercel ادعا می‌کند که توسعه‌دهندگانی که به مجموعه‌ای از کلیدهای API شخص ثالث، اعتبارنامه‌های ارائه‌دهنده LLM، و فراخوانی‌های ابزار متکی هستند، بیشتر در معرض چنین حملاتی قرار دارند.

نقض امنیتی چگونه رخ داد؟

برخلاف گمانه‌زنی‌های کاربران، Vercel نقطه ورود اولیه نبود؛ این شرکت زمانی به خطر افتاد که یک کارمند Context.ai با دسترسی‌های حساس از طریق آلودگی به بدافزار Lumma Stealer مورد نقض قرار گرفت. 

این نقض زمانی رخ داد که کارمند مذکور یک اسکریپت Auto-farm رابلاکس و ابزارهای اکسپلویت بازی را دانلود کرد که از روش‌های اصلی انتشار بدافزار هستند. این نقض منجر به سرقت داده‌های کاربری شد، از جمله اطلاعات ورود به Google Workspace و سایر کلیدهای دسترسی به پلتفرم‌هایی مانند Supabase، Datadog و Authkit. 

سپس مهاجم از یک توکن OAuth دزدیده‌شده برای دسترسی به حساب Google Workspace شرکت Vercel استفاده کرد. در حالی که Vercel کاربر Context.ai نیست، یکی از کارمندان آن حسابی در این پلتفرم داشت که با یک حساب سازمانی Vercel ایجاد شده بود و از همه بدتر، مجوزهای «اجازه همه» را تأیید کرده بود. 

برای بدتر کردن اوضاع، Vercel این مجوزهای گسترده را در محیط Google Workspace خود فعال کرده بود و دسترسی آسان‌تری را فراهم می‌کرد. 

پس از ورود، مهاجم اقدام به رمزگشایی متغیرهای محیطی غیرحساس ذخیره‌شده در سیستم کرد. با این حال، آن‌ها نتوانستند به داده‌های حساس دسترسی پیدا کنند، زیرا Vercel آن متغیرهای محیطی را به شیوه‌ای ذخیره می‌کند که از دسترسی به آن‌ها جلوگیری می‌کند. 

این رویداد برای توسعه‌دهندگان AI Agent به چه معناست؟

برای توسعه‌دهندگان، نگرانی بیشتر در شعاع تأثیر است تا آنچه به عنوان سرقت‌شده ثبت شده است. بیشتر توسعه‌دهندگان نگران این هستند که گردش‌کارهایشان، که با اعتبارنامه‌ها در متغیرهای محیطی ساده به هم متصل شده‌اند، ممکن است در معرض این نقض قرار گیرند. این به این دلیل است که اکثر توسعه‌دهندگان در Vercel معمولاً کلیدهای دسترسی مهم را در محیط‌های استقرار خود ذخیره می‌کنند. 

علاوه بر این، پروژه‌های مبتنی بر هوش مصنوعی می‌توانند به طور همزمان شامل کلید API OpenAI یا Anthropic، یک رشته اتصال پایگاه داده برداری، یک راز webhook، و یک توکن ابزار شخص ثالث باشند که توسط سیستم به عنوان حساس علامت‌گذاری نمی‌شوند، زیرا نیاز دارند توسعه‌دهنده این کار را به صورت دستی انجام دهد. 

برای مقابله با این رویداد، Vercel محصول خود را به‌روزرسانی کرده است تا همه متغیرهای محیطی تازه ایجادشده به طور پیش‌فرض حساس علامت‌گذاری شوند و تنها توسط توسعه‌دهنده می‌توانند غیرحساس شوند. در حالی که این توسعه گامی درست است، جبران‌کننده متغیرهایی که قبل از این تغییر سرقت شدند نمی‌شود.

حمله تا کجا گسترش می‌یابد؟

بر اساس اعلام Vercel، این حمله ممکن است صدها کاربر در سازمان‌های مختلف را تحت تأثیر قرار دهد، نه فقط سیستم‌های خودش، بلکه در سراسر صنعت فناوری. این به این دلیل است که برنامه OAuth مورد استفاده در حمله تنها به Vercel محدود نبود. 

برای کاهش اثرات حمله، تیم امنیتی Vercel شناسه منحصربه‌فرد برنامه OAuth به خطر افتاده را به اشتراک گذاشته و از مدیران Google Workspace و دارندگان حساب Google خواسته است بررسی کنند که آیا این برنامه به سیستم‌هایشان دسترسی داشته است یا خیر. 

علاوه بر این، Context.ai با کمک Jaime Blasco، مدیر ارشد فناوری Nudge Security، مجوز دسترسی OAuth دیگری شامل دسترسی به Google Drive را نیز شناسایی کرد. برای جلوگیری از تأثیر بیشتر، Context.ai بلافاصله تمام مشتریان آسیب‌دیده را مطلع کرد و مراحل لازم برای جلوگیری از نقض‌های بیشتر را ارائه داد.

باهوش‌ترین ذهن‌های حوزه رمزارز خبرنامه ما را می‌خوانند. می‌خواهید در جمع آن‌ها باشید؟ همین حالا عضو شوید.