Nguồn: Trend Micro Research
Tóm tắt
Khoảng tháng 6/2024, kẻ tấn công đã xâm phạm OAuth application của Context.ai trên Google Workspace, một bên thứ ba có tích hợp với Vercel. OAuth token được cấp không yêu cầu password, không bị hủy khi đổi password, và thường có scope rộng — đây là đặc điểm khiến OAuth-based intrusion duy trì được tới 22 tháng trước khi Vercel công bố vào tháng 4/2026. Vercel CEO Guillermo Rauch xác nhận kẻ tấn công đã sử dụng AI để tăng tốc độ tấn công.
Attack chain gồm 5 giai đoạn: xâm phạm OAuth app của Context.ai → pivot vào Google Workspace account của nhân viên Vercel → lateral movement vào internal systems → enumerate environment variables của customer projects → khai thác credentials từ các biến đó. Điểm khuếch đại blast radius là Vercel phân biệt biến “sensitive” và “non-sensitive” — biến không được đánh dấu sensitive không được mã hóa khi accessed nội bộ, cho phép attacker đọc secrets như API keys của downstream services.
Anomaly đáng chú ý: một customer Vercel nhận được cảnh báo leaked-key từ OpenAI vào ngày 10/4/2026 — chín ngày trước khi Vercel công bố breach. Điều này tạo ra câu hỏi về detection-to-disclosure latency. Google Workspace OAuth audit logs mặc định chỉ lưu 6 tháng, khiến forensic visibility vào thời điểm ban đầu bị mất trước khi điều tra bắt đầu. Incident này nằm trong pattern 2026: LiteLLM, Axios npm, và nay Vercel đều bị tấn công qua developer-stored credentials trong CI/CD, package registries và OAuth integrations.
Các biện pháp phòng thủ được đề xuất bao gồm: treat OAuth apps như third-party vendor (audit định kỳ, revoke unused grants), đánh dấu tất cả credentials là sensitive để đảm bảo encryption at rest, thiết kế systems giả định provider-side compromise có thể xảy ra, và coi unsolicited leaked-credential alerts từ OpenAI, GitHub, AWS, Stripe là high-priority early-warning signals thay vì routine noise.