كشفت تحقيقات أمنية موثّقة أن منصة فيرسيل (Vercel)، الشركة الأمريكية الرائدة في استضافة تطبيقات الويب والذكاء الاصطناعي، تعرّضت في التاسع عشر من أبريل 2026 لاختراق أمني واسع النطاق. وقد تتبّع المحققون جذور الهجوم إلى حادثة تبدو للوهلة الأولى بعيدة عن عالم الأمن السيبراني: تحميلُ أحد موظفي شركة ذكاء اصطناعي صغيرة برنامجَ غش في لعبة الفيديو الشهيرة “روبلوكس”.
البداية: غش في روبلوكس يفتح الباب للمخترقين
في شهر فبراير 2026، كان موظف في شركة Context.ai، وهي أداة إنتاجية قائمة على الذكاء الاصطناعي، يبحث عبر الإنترنت عن ما يُعرف بـ”سكريبتات الزراعة التلقائية” في لعبة روبلوكس. وفقاً لشركة هودسن روك (Hudson Rock) المتخصصة في استخبارات التهديدات السيبرانية، كشف تحليل سجلات التصفح للجهاز المُخترَق أن الموظف نزّل هذه الأدوات على حاسوبه المخصص للعمل. كانت تلك الملفات تحمل في طياتها برنامجاً خبيثاً يُدعى لوما ستيلر (Lumma Stealer)، رُصد أول ظهور له عام 2022.
يعمل لوما ستيلر بصمت تام داخل الجهاز المُصاب. يستهدف مباشرةً بيانات المتصفح ومحافظ العملات الرقمية ومفاتيح الوصول إلى الخدمات السحابية، ثم يُحيلها إلى منصات بيع إجرامية. ولا يُفرّق البرنامج الخبيث بين بيانات الألعاب الشخصية وبيانات العمل الحساسة، إذ يسرق كل شيء في آنٍ واحد.
المرحلة الثانية: اختراق Context.ai وسرقة بيانات حساسة
نتيجةً لتلك الإصابة، وقعت بيانات حساسة تخص الموظف في أيدي المهاجمين. وشملت السرقةُ بيانات اعتماد Google Workspace، ومفاتيح الوصول إلى خدمات مثل Supabase وDatadog وAuthKit، فضلاً عن ملفات تعريف الارتباط النشطة التي تتيح تجاوز المصادقة الثنائية. وأشارت شركة هودسن روك إلى أن سجلات قاعدة البيانات الخاصة بالجرائم الإلكترونية لا تُظهر سوى إصابة واحدة مسجّلة تخصّ شركة Context.ai، وهي بالضبط هذه الإصابة، ما يُرجّح بشكل كبير أنها كانت نقطة الدخول الأولى للمهاجمين.
بعد أن استخدم المهاجمون البيانات المسروقة للنفاذ إلى البنية السحابية لـContext.ai على AWS، عثروا على قاعدة بيانات تحتوي على رموز OAuth الخاصة بمستخدمي النسخة القديمة من منصة الشركة. وقد أفصحت Context.ai لاحقاً عن تعرّضها لاختراق أمني سمح لجهة غير مصرّح لها بالوصول إلى رموز OAuth الخاصة ببعض المستخدمين في منتجاتها القديمة والتجريبية.
المرحلة الثالثة: النفاذ إلى فيرسيل عبر ثغرة OAuth
كان أحد موظفي فيرسيل يستخدم Context.ai مرتبطةً بحسابه على Google Workspace المخصص للعمل، وأعطى التطبيق صلاحية “القراءة الكاملة” لـGoogle Drive. استغل المهاجمون رمز OAuth المسروق للسيطرة على حساب Google الخاص بالموظف، ثم تمكنوا من الوصول إلى حسابه على منصة فيرسيل. ومن هناك، نجحوا في التنقل عبر الأنظمة الداخلية ليصلوا إلى متغيرات البيئة غير المُصنّفة حساسة، التي تحتوي في الغالب على مفاتيح API وبيانات اعتماد قواعد البيانات.
وصف الرئيس التنفيذي لفيرسيل، غيليرمو راوتش، المهاجمين في منشور على منصة X بأنهم “بالغو التطور” استناداً إلى سرعة تحركهم وعمق فهمهم لواجهات برمجة تطبيقات فيرسيل. وأكد راوتش أن المنصة تخزّن جميع متغيرات البيئة الخاصة بالعملاء في حالة تشفير كاملة عند التخزين، غير أن المهاجمين تمكنوا رغم ذلك من الوصول إلى بعض المتغيرات غير المحمية بتصنيف “حساس”.
هوية المهاجم وحجم الابتزاز
في الثامن عشر والتاسع عشر من أبريل 2026، نشر مجهول يستخدم هوية مجموعة ShinyHunters الإجرامية الشهيرة على منتدى BreachForums إعلاناً يعرض فيه بيانات مسروقة من فيرسيل، شملت مفاتيح الوصول وكود المصدر ورموز NPM وGitHub، إضافةً إلى ملف يحتوي على نحو 580 سجلاً لموظفين. وطالب المهاجم بفدية قدرها مليونا دولار.
وتجدر الإشارة إلى أن مجموعة ShinyHunters نفسها نفت عبر موقع BleepingComputer أي علاقة لها بهذا الهجوم تحديداً، وإن كانت المجموعة تشترك في أساليب مشابهة. وأكدت شركة فيرسيل أنها لم تتلقَّ أي تواصل مباشر من الجهة المهاجمة حتى تاريخ الإفصاح الأولي.
فيرسيل: منصة تُدار عليها الملايين من تطبيقات الذكاء الاصطناعي
تأسست فيرسيل عام 2015 على يد غيليرمو راوتش، وهي المنصة السحابية التي تستضيف اليوم أكثر من 2 مليون موقع ويب حي وتطبيق نشط. تضم قائمة عملائها شركات بارزة مثل OpenAI وAnthropic وPayPal وNike وWalmart. وبحلول مطلع عام 2026، وصل معدل إيراداتها السنوية المتكررة إلى 340 مليون دولار، وبلغت قيمتها السوقية 9.3 مليار دولار عقب جولة تمويل Series F بقيمة 300 مليون دولار في سبتمبر 2025.
يُبرز هذا الاختراق الخطورةَ الهائلة لتأثيره المتسلسل على سلاسل التوريد التقنية. فالمهاجمون لم يستهدفوا فيرسيل مباشرةً، بل نفذوا إليها عبر ثلاث حلقات ضعيفة: لعبة فيديو، وموظف واحد، وتطبيق ذكاء اصطناعي صغير.
