, июль 15, 2026

Roblox-чит → Vercel-дегі дерек ағуы: инфостилер, OAuth және орта айнымалылары арқылы тізбек


Context.ai қызметкері 2026 ақпанда жұмыс ноутбугіне Roblox-қа чит жүктеді. 10 аптадан кейін шабуылдаушылар Vercel қызметкерлерінің 580 жазбасын $2 млн-ға сатады.

  •   2 мин чтения
Roblox-чит → Vercel-дегі дерек ағуы: инфостилер, OAuth және орта айнымалылары арқылы тізбек

Содержание

Context.ai (ЖИ-ассистенттер стартабы) қызметкері 2026 жылдың ақпанында жұмыс ноутбугіне Roblox-қа чит жүктеді. 10 аптадан кейін шабуылдаушылар BreachForums-та (ұрланған дерек саудасы форумы) Vercel (веб-қосымшалар хостингінің бұлт платформасы) қызметкерлерінің 580 жазбасын, NPM және GitHub токендерін — $2 млн-ға сатады. Vercel ешқашан Context.ai клиенті болмаған. Бір қызметкердің браузеріндегі бір OAuth-плагин — және шабуыл төрт ұйымдық шекарадан өтті.

📌 Шабуыл тізбегі

2026 ақпан: Lumma Stealer (браузерден құпиясөз бен токен ұрлайтын зиянды бағдарлама) ойын читі арқылы Context.ai қызметкерінің машинасына түседі → Google Workspace, AWS-кілттер, токендер ұрланды.

Наурыз: Google Workspace-тегі Context.ai OAuth-қосымшаларының компрометациясы.

Сәуір: Vercel қызметкері браузеріне Context.ai кеңейтімін орнатып, оған корпоративтік Google-аккаунтқа кең OAuth-құқық ("Allow All") береді.

19 сәуір: шабуылдаушы Vercel деректерін $2 млн-ға сатады.

⚡️ Не ағып кетті

580 қызметкер жазбасы, NPM- және GitHub-токендер, бастапқы код үзінділері, "sensitive" деп белгіленбеген орта айнымалылары (ашық түрде сақталған). Next.js (React-фреймворк, аптасына ~6 млн жүктеу), Turbopack және AI SDK зардап шеккен жоқ — аудитті GitHub, Microsoft, npm және Socket растады.

🔗 Эскалация қалай жүреді

OAuth-токен (қосымшаға құпиясөзсіз пайдаланушы атынан әрекет етуге мүмкіндік беретін цифрлық кілт) шабуылдаушыға Google Workspace-те Vercel қызметкерінің құқығын берді: пошта мен Drive оқу, байланысты сервистерге қол жеткізу. Осы арналар арқылы токендер мен кілттер алынды. Vercel ішінде шабуылдаушы "non-sensitive" орта айнымалыларын оқыды — онда репозиторийлер мен код жеткізу инфрақұрылымына жол ашатын NPM- және GitHub-токендер жатты.

🔥 Архитектура қай жерде жарылды

Кең OAuth-рұқсаттар — пайдаланушы құқықтар тізімін көлемін түсінбей "рұқсат" басады.

"Non-sensitive" айнымалылар ашық түрде — әзірлеуші ыңғайлылығы эскалация нүктесіне айналды.

Ешкім үшінші тарап қосымшаларын аудиттемейді — қай сервистер корпоративтік Workspace-ке OAuth-токен ұстайды және қандай құқықпен.

⚠️ Бұл — паттерн, жеке жағдай емес

2025 жылдың тамызында UNC6395 тобы Salesloft Drift (сатылымға арналған ЖИ-чат-бот) арқылы 700+ ұйымды компрометациялады — Cloudflare, Google, Palo Alto Networks, Tanium, Zscaler, Workday. OAuth-токендер CRM мен бұлт инфрақұрылымына қол жеткізді. Механика сол: вендордағы инфостилер → токендер → клиенттерге қол жеткізу. Екі жағдайдың да түбірі — ЖИ емес, вендор машиналарындағы инфостилерлер плюс аудиті мен ротациясы жоқ OAuth-токендер.

🤖 Нені түсіну маңызды:

Периметрді қорғау (файервол, VPN) мұндай шабуылдан пайдасыз — шабуылдаушы қызметкер бір басқанда ашылатын сенімді арна арқылы кіреді. 2026 жылдың басты осалдығы — корпоративтік Google Workspace немесе Microsoft 365-ке қолжетімділігі бар үшінші тарап қосымшаларының тізімі. OAuth-токендер бүгін — келу журналы жоқ және әдепкіде қолданылу мерзімі жоқ рұқсаттамалар. Бұл туралы бірінші кім біледі: сіз бе, әлде BreachForums-тағы хакер ме?

Дереккөздер: TechCrunch | Vercel hacked via Context AI breach · The Hacker News | Vercel Breach Tied to Context AI · Vercel | Official Security Bulletin · Google Cloud | Salesloft Drift OAuth campaign

Похожие материалы