تحديث حادثة أمان Vercel: حزمة npm لم تتعرض للتلوث، والمتغيرات البيئية الجديدة تكون بشكل افتراضي "حساسة"

وفقًا لمراقبة Beating، أعلنت حسابات Vercel الرسمية في صباح يوم 21 أبريل أنه بعد التحقيق المشترك مع GitHub و Microsoft و npm و Socket، لم يتم التلاعب بأي حزمة نشرتها Vercel على npm، وما زالت سلسلة التوريد “آمنة”. تقوم Vercel بصيانة مكتبات مفتوحة المصدر مثل Next.js و Turbopack و SWR على npm، ويبلغ إجمالي التنزيلات الشهرية مئات الملايين، وإذا قام المهاجمون بحقن سموم باستخدام حسابات الموظفين، فإن التأثير سيكون أكبر بكثير من عملاء Vercel أنفسهم. استبعدت هذه التحقيقات أكبر خطر مرتبط بالحادثة.

وفي نفس اليوم، تم تحديث ثلاثة تفاصيل في الإعلان الأمني الرسمي بشكل متزامن. لأول مرة، تم تحديد نطاق التأثير على مستوى الحقول. وأشار الإعلان إلى أن البيانات التي تم تسريبها هي تلك الخاصة بمتغيرات بيئة العملاء غير المصنفة على أنها “حساسة”، والتي يتم تخزينها بعد فك تشفيرها في الخلفية كنص واضح. لا تزال Vercel تحقق فيما إذا تم سرقة المزيد من البيانات. من بين النصائح المقدمة للعملاء، أُضيفت نصيحة “حذف مشروع Vercel أو الحساب نفسه لا يمكن أن يزيل الخطر”. يجب أولاً تغيير جميع المفاتيح غير المصنفة على أنها حساسة قبل التفكير في الحذف، حيث لا تزال الشهادات التي يمتلكها المهاجمون قادرة على الاتصال مباشرة بالنظام الإنتاجي.

غيرت المنتجات الإعداد الافتراضي. الآن، تكون المتغيرات البيئية الجديدة بشكل افتراضي “حساسة” (sensitive: on). كانت الحسابات القديمة عند إضافة متغيرات جديدة تعتبرها عادية بشكل افتراضي، ويجب تفعيل الحساسية يدويًا. هذا هو المدخل المباشر الذي تمكن المهاجمون من قراءة المتغيرات النصية الواضحة في هذه الهجمة. كما تم إطلاق واجهة سجل أنشطة أكثر كثافة وإدارة لمتغيرات البيئة على مستوى الفريق في لوحة التحكم؛ وتم وضع “تفعيل المصادقة الثنائية” في أعلى قائمة النصائح الأمنية.