🔍 O que aconteceu ? Um funcionário da Vercel usava uma ferramenta de IA chamada Context.ai com sua conta corporativa do Google Workspace. Em fevereiro de 2026, um funcionário da Context.ai foi infectado por um infostealer chamado Lumma, que foi baixado junto com um script malicioso de jogo. Isso comprometeu as credenciais OAuth da ferramenta. O atacante usou esse acesso em três pontos principais: Tomar conta do Google Workspace do funcionário da Vercel; Escalar privilégios dentro dos sistemas internos; Acessar variáveis de ambiente não marcadas como sensíveis. A Vercel confirmou que variáveis marcadas como sensíveis estavam criptografadas e não foram acessadas. Mas as demais estavam expostas, e foi por aí que o atacante escalou ainda mais o acesso. A empresa classificou o atacante como altamente sofisticado, com "velocidade operacional e conhecimento detalhado dos sistemas da Vercel". Estão trabalhando com a Mandiant na resposta ao incidente. A boa notícia é que a supply chain foi preservada. O CEO Guillermo Rauch confirmou que Next.js, Turbopack e os projetos open source da Vercel não foram comprometidos. 🧠 Pontos que deveriam ter atenção: O vetor foi uma ferramenta de IA com acesso amplo demais Um funcionário autorizou o Context.ai com permissões "Allow All" no Google Workspace corporativo. Isso não deveria ser possível, e se for possível no seu ambiente, é um risco real agora. OAuth mal configurado é uma porta aberta Quantas ferramentas têm OAuth ativo no Google Workspace, GitHub ou Slack da sua empresa hoje? Cada uma dessas integrações é uma superfície de ataque em potencial. "Não sensível" não significa "sem risco" A Vercel tem criptografia para variáveis marcadas como sensíveis. O problema foi exatamente as que não estavam marcadas. O atacante usou isso para escalar o acesso progressivamente. ⚠️ É necessário tratar toda variável de ambiente como sensível por padrão. A cadeia de ataque começou com um script de jogo Um funcionário de uma empresa terceira baixou um "auto-farm" de Roblox. Isso infectou a máquina com um infostealer. Que comprometeu credenciais OAuth. Que deu acesso a uma empresa completamente diferente. Esse é o supply chain attack na vida real. 🛡️ Como se prevenir ? → Audite integrações OAuth: Revogue tudo que não está em uso ativo. → Nunca autorize "Allow All" : Em ferramentas de terceiros no ambiente corporativo. Princípio do menor privilégio sempre. → Classifique ativamente seus secrets: Não deixe o padrão decidir por você. → Treine seu time sobre infostealers: A origem do ataque foi um download malicioso num computador pessoal/corporativo de um funcionário de uma empresa parceira. → Configure alertas de acesso anômalo: No seu stack de observabilidade (Datadog, Splunk, CloudWatch). → Tenha um processo periódico de rotação de secrets — não espere um incidente para criar esse hábito. Segurança é sobre os hábitos que você constrói antes. 📌 Fontes: Boletim oficial da Vercel (atualizado) → https://vercel.com/kb/bulletin/vercel-april-2026-security-incident https://www.bleepingcomputer.com/news/security/vercel-confirms-breach-as-hackers-claim-to-be-selling-stolen-data/ https://thehackernews.com/2026/04/vercel-breach-tied-to-context-ai-hack.html https://www.infostealers.com/article/breaking-vercel-breach-linked-to-infostealer-infection-at-context-ai/ segurança #devops #backend #cloud #vercel #supplychainattack #oauth #infosec #developers