تحديث حادثة أمان Vercel: حزم npm لم تتعرض للاختراق، والمتغيرات البيئية الجديدة تُعيَّن بشكل افتراضي على "حساس"

وفقًا لمراقبة بيتيغ، أعلنت الحساب الرسمي لفيرسيل صباح يوم 21 أبريل أنه بعد تحقيق مشترك مع جيت هاب ومايكروسوفت و npm و Socket، تم التأكد من عدم تعديل أي حزم نشرتها فيرسيل على npm، وأن سلسلة التوريد “لا تزال آمنة”. تحتفظ فيرسيل بمكتبات مفتوحة المصدر مثل Next.js و Turbopack و SWR على npm، والتي تحصد ملايين التنزيلات شهريًا. إذا قام مهاجم بتسميم هذه الحزم باستخدام حساب موظف، فإن التأثير سيكون أكبر بكثير من ذلك على عملاء فيرسيل أنفسهم. لقد ألغت هذه التحقق أكبر مخاطر مرتبطة بالحادثة. في نفس اليوم، تم تحديث الإعلان الأمني الرسمي بثلاثة تفاصيل. تم توضيح نطاق التأثير حتى مستوى الحقل للمرة الأولى. ذكر الإعلان أن المعلومات المسربة تتكون من متغيرات بيئة العملاء التي لم تُعلم على أنها “حساسة”، والتي كانت مخزنة كنص واضح بعد فك تشفيرها في الخلفية. لا تزال فيرسيل تحقق مما إذا تم تسريب المزيد من البيانات. من بين التوصيات للعملاء، أُضيف أن “حذف مشروع فيرسيل أو الحساب نفسه لا يُنهي المخاطر”. يجب تدوير جميع المفاتيح الحساسة غير المعلمة قبل التفكير في الحذف، حيث أن بيانات الاعتماد التي حصل عليها المهاجم لا تزال قادرة على الاتصال مباشرة بالنظام الإنتاجي. من جانب المنتج، تم تغيير القيمة الافتراضية. الآن، يتم تعيين المتغيرات البيئية الجديدة إلى “حساسة” (حساس: على) بشكل افتراضي. سابقًا، بالنسبة للحسابات القديمة، كانت المتغيرات المضافة حديثًا تُعيّن بشكل افتراضي إلى أنواع عادية ويجب فحصها يدويًا لتمكين الحساسية. كان هذا هو نقطة الدخول المباشرة للمهاجم لقراءة المتغيرات النصية الواضحة. كما أطلقت لوحة التحكم سجل نشاط أكثر تفصيلًا وإدارة متغيرات البيئة على مستوى الفريق؛ ومن بين جميع التوصيات الأمنية، تم إعطاء أولوية لـ “تمكين المصادقة ذات العاملين”.