兩個月前AI公司Context遭竊資軟體攻擊，疑為雲端開發平臺Vercel資料外洩事故的導火線

威脅情報公司HudsonRock指出，Vercel資安外洩事故的源頭，可追溯到今年2月Context遭遇竊資軟體Lumma Stealer攻擊。根據他們的調查，一名具有敏感存取權限的Context員工，疑似為了尋找遊戲外掛，特別是Roblox的自動掛機指令碼與執行工具，導致電腦被感染了Lumma Stealer，導致大量企業憑證外流。值得留意的是，這名員工受害之前，Context.ai還有發生一次竊資軟體攻擊。根據這些攻擊的跡象，HudsonRock研判攻擊者很有可能就是ShinyHunters。

駭客從這名Context員工的電腦裡，挖掘Google Workspace憑證，以及Supabase、Datadog、Authkit的金鑰與帳密資料。部分資訊相當敏感，其中一個是support@context.ai帳號，這些開發成員與管理工具的曝光，讓駭客能夠提升權限、繞過該公司的初期資安防線，並轉向Vercel的基礎設施。

值得留意的是，在Vercel發布資安公告後，Context也發出聲明，表示該公司於3月察覺AWS環境遭未經授權存取的事故，當時該公司委託資安公司CrowdStrike進行調查，通知受影響的客戶，並關閉AWS環境與相關資源，全面棄用消費端的產品。

近日Context根據Vercel提供的情報再度進行內部調查，他們發現上述事故駭客疑似也滲透部分消費端用戶的OAuth權杖（Token），然後透過這些OAuth權杖存取Vercel的Google Workspace。

Context強調，Vercel並非他們的客戶，不過至少有1名員工透過公司的Google Workspace帳號，註冊Context的消費型服務AI Office Suite，並授予全部同意（Allow All）的權限。

針對上述資安事故的影響範圍，Context表示僅限於AI Office Suite等消費型產品，企業級產品不受影響，Bedrock用戶不受影響。該公司也提及AI Office Suite已經棄用，他們將直接聯絡受影響的用戶。