🔍 Contexte
Source : Hudson Rock (infostealers.com), publié le 20 avril 2026. Cet article présente les conclusions d’une investigation de threat intelligence menée par Hudson Rock à la suite de la confirmation publique d’une violation de données chez Vercel, plateforme cloud de déploiement d’applications.
🦠 Vecteur initial : infection Lumma Stealer
En février 2026, un employé de Context.ai (fournisseur tiers de Vercel) a été compromis par Lumma Stealer. L’infection aurait été contractée via le téléchargement de scripts malveillants liés à des exploits de jeu (Roblox auto-farm scripts/executors), vecteur classique de déploiement de Lumma Stealer.
Hudson Rock précise que Context.ai ne présente qu’une seule infection infostealer dans sa base de données, correspondant exactement à cet employé, un mois avant l’incident.
📋 Données exfiltrées
Les credentials récupérés depuis la machine infectée incluaient :
- Google Workspace (dont le compte
support@context.ai) - Supabase
- Datadog
- Authkit
- Accès administratifs Vercel (équipe
context-inc) aux endpoints :vercel.com/context-inc/valinor/settings/environment-variablesvercel.com/context-inc/valinor/settingsvercel.com/context-inc/valinor/logs
🔗 Escalade vers Vercel
L’employé compromis était membre de l’équipe context-inc sur Vercel, avec accès aux variables d’environnement, secrets, clés API et logs de production. Ces accès ont permis au groupe ShinyHunters de pivoter vers l’infrastructure Vercel, confirmé par le bulletin officiel de sécurité Vercel d’avril 2026.
🕵️ Attribution
Hudson Rock attribue l’exploitation de ces accès au groupe ShinyHunters, connu pour cibler les environnements enterprise via des points d’accès compromis. Les données volées ont été mises en vente sur un forum de hacking.
🔑 IOC notable
Un Google OAuth Client ID malveillant a été identifié comme IOC dans les champs autofill de l’utilisateur compromis : 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
📌 Nature de l’article
Il s’agit d’un rapport d’incident publié par Hudson Rock, visant à documenter la chaîne d’attaque et à promouvoir ses capacités de détection d’infections infostealer via sa base de données cybercriminalité.
🧠 TTPs et IOCs détectés
Acteurs de menace
TTP
- T1078 — Valid Accounts (Initial Access)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1555.003 — Credentials from Web Browsers (Credential Access)
- T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
- T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1059 — Command and Scripting Interpreter (Execution)
IOC
- URLs :
https://110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com/— URLhaus - Emails :
support@context.ai
Malware / Outils
- Lumma Stealer (stealer)
🟡 Indice de vérification factuelle : 51/100 (moyenne)
- ⬜ infostealers.com — source non référencée (0pts)
- ✅ 5864 chars — texte complet (fulltext extrait) (15pts)
- ✅ 2 IOC(s) (6pts)
- ⬜ 0/1 IOCs confirmés externellement (0pts)
- ✅ 7 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : ShinyHunters (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.infostealers.com/article/breaking-vercel-breach-linked-to-infostealer-infection-at-context-ai/