تحديث حادثة أمان Vercel: حزم npm لم تتعرض للاختراق، والمتغيرات البيئية الجديدة تُعيَّن بشكل افتراضي على "حساس"

وفقًا لمراقبة بواسطة Beating، أعلنت الحساب الرسمي لـ Vercel صباح يوم 21 أبريل أنه بعد تحقيق مشترك مع GitHub و Microsoft و npm و Socket، تم التأكد من عدم تعرض أي حزم نشرتها Vercel على npm للتلاعب، وأن سلسلة التوريد “لا تزال آمنة”. تحافظ Vercel على مكتبات مفتوحة المصدر مثل Next.js و Turbopack و SWR على npm، والتي تحصد مجتمعة مليارات التنزيلات شهريًا. إذا قام مهاجم بتسميم هذه الحزم باستخدام حساب موظف، فإن التأثير سيكون أكبر بكثير مما لو حدث على عملاء Vercel أنفسهم. لقد أزال هذا التحقق أكبر خطر مرتبط بالحادث. في نفس اليوم، تم تحديث الإعلان الأمني الرسمي بثلاثة تفاصيل. تم توضيح نطاق التأثير حتى مستوى الحقل للمرة الأولى. ذكر الإعلان أن المعلومات المسربة تتكون من متغيرات بيئة العملاء التي لم تُعلم على أنها “حساسة”، والتي كانت مخزنة كنص واضح بعد فك تشفيرها في الخلفية. لا تزال Vercel تحقق مما إذا تم تسريب المزيد من البيانات. من بين التوصيات للعملاء، أُضيف أن “حذف مشروع Vercel أو الحساب نفسه لا يُنهي الخطر”. يجب تدوير جميع المفاتيح الحساسة غير المعلمة قبل التفكير في الحذف، حيث أن بيانات الاعتماد التي حصل عليها المهاجم لا تزال قادرة على الاتصال مباشرة بالنظام الإنتاجي. من جانب المنتج، تم تغيير القيمة الافتراضية. الآن، يتم تعيين المتغيرات البيئية الجديدة إلى “حساسة” (حساس: على) بشكل افتراضي. سابقًا، بالنسبة للحسابات الأقدم، كانت المتغيرات المضافة حديثًا تُعيّن بشكل افتراضي إلى أنواع عادية ويجب فحصها يدويًا لتمكين الحساسية. كان هذا هو نقطة الدخول المباشرة للمهاجم لقراءة المتغيرات النصية الواضحة. كما أطلقت لوحة التحكم واجهة سجل نشاط أكثر تفصيلًا وإدارة متغيرات البيئة على مستوى الفريق؛ ومن بين جميع التوصيات الأمنية، تم إعطاء أولوية “تمكين المصادقة ذات العاملين”.