Vazamento da Vercel ligado à infecção por infostealer na Context.ai

A recente violação da Vercel, atribuída ao ator da ameaça ShinyHunters, teve origem em uma infecção por Lumma stealer em fevereiro de 2026 na Context.ai. Um funcionário com acesso privilegiado baixou scripts maliciosos de "auto-farm" de Roblox, comprometendo credenciais corporativas para Google Workspace, Supabase, Datadog e Authkit, além de acesso administrativo às variáveis de ambiente e logs de produção da Vercel.

Esta infecção foi o único comprometimento por infostealer registrado na Context.ai, estabelecendo uma alta correlação de confiança entre a exposição do funcionário ao malware e o acesso não autorizado subsequente à infraestrutura da Vercel. Os atacantes escalaram privilégios através da conta comprometida support@context.ai. Organizações podem auditar sua exposição procurando nos controles da Google Workspace API pelo OAuth Client ID malicioso "110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com" e revogar o acesso imediatamente, o que ressalta como a detecção rápida de infostealers e a remediação de credenciais poderiam ter evitado essa escalada na cadeia de suprimentos.