据 动察 Beating 监测,Vercel 官方账号 4 月 21 日上午宣布,称与 GitHub、Microsoft、npm、Socket 四方联合排查后,Vercel 在 npm 上发布的任何包均未被篡改,供应链「仍然安全」。Vercel 在 npm 上维护 Next.js、Turbopack、SWR 等开源库,合计每月下载量以亿次计,若被攻击者借员工账号投毒,影响会远超 Vercel 自身客户。这次核查排除了事件里最大的一项连带风险。 同日官方安全公告同步更新三处细节。受影响范围首次明确到字段级别。公告称,遭泄露的是未被标记为「敏感」的那部分客户环境变量,其在后台解密后以明文存储。是否有更多数据被带走,Vercel 仍在调查。给客户的建议里多了一条「删除 Vercel 项目或账号本身不能消除风险」。必须先轮换所有未标记为敏感的密钥,再考虑删除动作,攻击者拿到的凭证仍可直连生产系统。 产品侧改了默认值。新建环境变量现在默认即是「敏感」(sensitive: on)。老账号过去新增变量默认是普通类型,要手动勾选才启用敏感。这正是本次攻击者能读到明文变量的直接入口。Dashboard 同步上线了更密集的活动日志界面和团队级环境变量管理;所有安全建议里「启用双因素认证」被顶到最前。
Vercelセキュリティインシデントの更新:npmパッケージは汚染されていません、新しい環境変数はデフォルトで「敏感」扱い
据 动察 Beating 监测,Vercel 官方账号 4 月 21 日上午宣布,称与 GitHub、Microsoft、npm、Socket 四方联合排查后,Vercel 在 npm 上发布的任何包均未被篡改,供应链「仍然安全」。Vercel 在 npm 上维护 Next.js、Turbopack、SWR 等开源库,合计每月下载量以亿次计,若被攻击者借员工账号投毒,影响会远超 Vercel 自身客户。这次核查排除了事件里最大的一项连带风险。
同日官方安全公告同步更新三处细节。受影响范围首次明确到字段级别。公告称,遭泄露的是未被标记为「敏感」的那部分客户环境变量,其在后台解密后以明文存储。是否有更多数据被带走,Vercel 仍在调查。给客户的建议里多了一条「删除 Vercel 项目或账号本身不能消除风险」。必须先轮换所有未标记为敏感的密钥,再考虑删除动作,攻击者拿到的凭证仍可直连生产系统。
产品侧改了默认值。新建环境变量现在默认即是「敏感」(sensitive: on)。老账号过去新增变量默认是普通类型,要手动勾选才启用敏感。这正是本次攻击者能读到明文变量的直接入口。Dashboard 同步上线了更密集的活动日志界面和团队级环境变量管理;所有安全建议里「启用双因素认证」被顶到最前。