Am vergangenen Wochenende bestätigte Vercel, die Cloud-Plattform hinter Next.js und npm, einen unbefugten Zugriff auf interne Systeme. Die Untersuchung wird von Mandiant und den Strafverfolgungsbehörden begleitet. Gleichzeitig arbeitete Vercel mit GitHub, Microsoft, npm und Socket zusammen, um sicherzustellen, dass keine der eigenen npm-Pakete kompromittiert wurden. Alle Next.js-, Turbopack- und AI-SDK-Pakete bleiben nach einer gemeinsamen Überprüfung unverändert.
Der fatale Klick: Eine infizierte KI-Erweiterung als Einfallstor
Laut OX Security installierte ein Mitarbeiter von Vercel die Browser-Erweiterung von Context.ai und meldete sich mit einem Unternehmenskonto bei Google Workspace an. Diese Aktion gewährte der Erweiterung umfangreiche OAuth-Berechtigungen. Als Context.ai selbst kompromittiert wurde, erbeutete der Angreifer damit den Zugriff auf Vercels Google Workspace-Umgebung. Von dort aus konnte er sich durch nicht als „sensibel“ markierte Umgebungsvariablen in Vercels Produktionssysteme vortasten.
Vercels CEO Guillermo Rauch bezeichnete den Angreifer als „hochgradig sophistiziert“ und vermutete eine Beschleunigung durch KI-Tools. Unabhängig davon entdeckte Jaime Blasco, CTO von Nudge Security, einen zweiten OAuth-Zugriff über die Chrome-Erweiterung von Context.ai. Dieser erlaubte sogar das Lesen von Dateien aus Google Drive. Google entfernte die Erweiterung daraufhin am 27. März aus dem Chrome Web Store.
Patient Null: Ein infizierter Mitarbeiter und gestohlene Anmeldedaten
Forensische Analysen von Hudson Rock zeigen, dass die Infektion ihren Ursprung in einem Lumma-Stealer-Angriff auf einen Mitarbeiter von Context.ai im Februar 2026 hatte. Der Mitarbeiter hatte zuvor Roblox-Cheat-Skripte und Exploits heruntergeladen, die seine Browserdaten kompromittierten. Dabei wurden unter anderem Google-Workspace-Anmeldungen, Supabase-Schlüssel, Datadog-Tokens und Authkit-Zugangsdaten gestohlen. Hudson Rock identifizierte den Betroffenen als Mitglied des Kernteams von Context.ai mit administrativen Rechten auf Vercels Produktionsdashboards.
Context.ai selbst gab am Sonntag bekannt, dass der Angriff zunächst nur ihr veraltetes KI-Büro-Tool für Endverbraucher betraf. Doch die neuesten Erkenntnisse zeigen ein weitaus größeres Ausmaß: Der Angreifer kompromittierte OAuth-Tokens von Verbrauchern, von denen eines auch Vercels Google Workspace öffnete. Die tatsächliche Reichweite des Angriffs bleibt jedoch unklar, da die Untersuchungen noch laufen.
Warum diese Lücke so gefährlich ist: Die vierstufige Angriffskette
Sicherheitsexperten warnen vor einer bisher kaum beachteten Schwachstelle: OAuth-Gewährungen durch Browser-Erweiterungen. Die folgende Tabelle zeigt, wie der Angriff ablief und wo klassische Sicherheitslösungen versagten.
Stufe 1: Infostealer auf dem Endgerät
Ein Mitarbeiter lud Roblox-Cheat-Skripte herunter, die einen Infostealer installierten. Dieser stahl Anmeldedaten für Google Workspace, Supabase, Datadog und Authkit. Typischerweise hätten EDR-Lösungen oder Monitoring für gestohlene Zugangsdaten hier eingreifen müssen – doch viele Unternehmen überwachen solche Vorfälle nicht ausreichend.
Stufe 2: AWS-Umgebung von Context.ai kompromittiert
Mit den gestohlenen Daten griff der Angreifer auf Context.ais AWS-Umgebung zu, die im März entdeckt und abgeschaltet wurde. Allerdings blieb eine weitere Kompromittierung unbemerkt: OAuth-Tokens wurden entwendet und später für den Zugriff auf Vercel genutzt.
Stufe 3: OAuth-Token-Diebstahl und Zugriff auf Vercels Workspace
Der Angreifer nutzte die gestohlenen Tokens, um sich über die Context.ai-Erweiterung Zugang zu Vercels Google Workspace zu verschaffen. Die meisten Unternehmen überwachen solche Drittanbieter-Tokens nicht, was diese Angriffsmethode besonders gefährlich macht.
Stufe 4: Seitliche Bewegung in Vercels Produktionsumgebung
Sobald im Workspace, durchsuchte der Angreifer nicht als „sensibel“ markierte Umgebungsvariablen – diese waren über das Dashboard und die API im Klartext einsehbar. Vercel entdeckte den Angriff erst nach der Kompromittierung von Kundendaten, nicht während des Zugriffs.
Was bekannt ist – und was nicht
Vercel bestätigt den unbefugten Zugriff auf interne Systeme und eine begrenzte Anzahl betroffener Kunden. Die genaue Zahl der betroffenen Accounts bleibt jedoch unklar. Eine Analyse von Trend Micro deutet darauf hin, dass der Angriff bereits im Juni 2024 begonnen haben könnte – was die Verweildauer des Angreifers auf fast 22 Monate verlängern würde. Hudson Rock hingegen datiert die Infektion auf Februar 2026. Beide Zeitangaben konnten bisher nicht unabhängig bestätigt werden.
Vercel hat als Reaktion die Standarderstellung von Umgebungsvariablen auf „sensibel“ umgestellt. Dennoch zeigt dieser Vorfall, wie schwer es ist, OAuth-basierte Angriffe zu erkennen, wenn sie über zwischengeschaltete Dienste wie Browser-Erweiterungen erfolgen. Sicherheitsteams müssen ihre Überwachungsstrategien anpassen, um solche Lücken zukünftig zu schließen.
KI-Zusammenfassung
A compromised third-party AI tool led to Vercel’s internal systems breach. Learn how attackers exploited overlooked OAuth grants and what security teams can do to prevent it.
