في تطور جديد يسلط الضوء على هشاشة سلاسل التوريد الرقمية، أعلنت شركة Vercel المتخصصة في البنية التحتية للويب عن تعرضها لاختراق أمني خطير ارتبط مباشرة بخرق أمني سابق في منصة Context.ai، وهي أداة ذكاء اصطناعي خارجية استخدمها أحد موظفي الشركة. هذا الاختراق أتاح للمهاجمين الوصول غير المصرح به إلى أنظمة داخلية محدودة في Vercel، وكشف عن بيانات اعتماد بعض العملاء، ما أثار موجة من القلق في أوساط الأمن السيبراني العالمي.
خلفيات الاختراق وسلسلة التوريد الرقمية
بدأت القصة مع اختراق Context.ai في مارس 2026، حيث تمكن المهاجمون من الوصول إلى بيئة AWS الخاصة بالشركة، إضافة إلى الاستيلاء على رموز OAuth لبعض المستخدمين. أحد موظفي Vercel كان قد استخدم حسابه المؤسسي للتسجيل في خدمات Context.ai ومنح صلاحيات واسعة عبر إعدادات OAuth الداخلية، الأمر الذي فتح الباب أمام المهاجمين للتسلل إلى بيئة Google Workspace الخاصة بـ Vercel.
تقرير صادر عن شركة Hudson Rock كشف أن أحد موظفي Context.ai أصيب ببرمجية خبيثة تُعرف باسم Lumma Stealer في فبراير 2026، ما أدى إلى سرقة بيانات اعتماد حساسة تشمل مفاتيح وخدمات مثل Supabase وDatadog وAuthkit، إضافة إلى حساب الدعم الرسمي للشركة. هذه الثغرة مثّلت نقطة انطلاق لما وصفه الخبراء بـ “تصعيد سلسلة التوريد”، حيث انتقل المهاجمون من بيئة Context إلى أنظمة Vercel.
تفاصيل الهجوم واستهداف بيئة Vercel
وفقًا لبيان رسمي من Vercel، استغل المهاجمون وصولهم إلى حساب Google Workspace الخاص بالموظف، ما مكّنهم من الدخول إلى بعض البيئات والمتغيرات غير المصنفة كـ “حساسة”. الشركة أوضحت أن المتغيرات الحساسة تُخزن بطريقة مشفرة تمنع قراءتها، ولا توجد أدلة حتى الآن على أن المهاجمين تمكنوا من الوصول إليها.
ومع ذلك، فقد تم الكشف عن أن مجموعة محدودة من العملاء تعرضت بيانات اعتمادهم للخطر، حيث تواصلت Vercel معهم مباشرة وحثتهم على تغيير بياناتهم فورًا. في الوقت ذاته، ادعى أحد المهاجمين المعروفين باسم ShinyHunters مسؤوليته عن الهجوم، وعرض البيانات المسروقة للبيع مقابل مليوني دولار.
استجابة الشركات والإجراءات الوقائية
تعمل Vercel بالتعاون مع شركة Mandiant التابعة لجوجل وعدد من شركات الأمن السيبراني، إضافة إلى إبلاغ السلطات المختصة، لفهم أبعاد الهجوم بشكل كامل. كما نصحت الشركة مديري Google Workspace بالتحقق من تطبيق OAuth المشبوه، ومراجعة سجلات النشاط بحثًا عن أي سلوك غير اعتيادي، إضافة إلى تدوير المتغيرات البيئية غير المحمية، وضبط حماية النشر على المستوى القياسي على الأقل.
من جانبه، نشر الرئيس التنفيذي لـ Vercel، غييرمو راوخ، بيانًا عبر منصة X أكد فيه أن الشركة نشرت إجراءات حماية واسعة النطاق، وأطلقت أدوات جديدة في لوحة التحكم لمساعدة العملاء على إدارة المتغيرات الحساسة بشكل أفضل، وضمان سلامة مشاريع مفتوحة المصدر مثل Next.js وTurbopack.
دلالات أوسع على الأمن السيبراني
تكشف هذه الحادثة عن خطورة الاعتماد على أدوات وخدمات خارجية دون مراجعة دقيقة لإعدادات الصلاحيات، كما تبرز كيف يمكن لثغرة صغيرة في سلسلة التوريد أن تتحول إلى اختراق واسع النطاق يهدد شركات كبرى وعملاءها. الخبراء يرون أن هذه الواقعة تمثل جرس إنذار للشركات لاعتماد سياسات أكثر صرامة في إدارة الهويات الرقمية، وتطبيق ممارسات أمنية متقدمة مثل الفصل بين البيئات، وتقييد صلاحيات OAuth، ومراقبة الأنشطة المشبوهة بشكل مستمر.
