Vercel только что был взломан. И это другой случай.

Vercel владеет Next.js.
Next.js скачивают 6 миллионов раз каждую неделю.
Та же хакерская группа, которая стоит за взломом Европейской комиссии и Rockstar Games, только что взяла на себя ответственность.
Они продают внутренние данные Vercel за $2 миллионов.
Ключи доступа. Исходный код. Учётные записи сотрудников. API-ключи. Токены NPM. Токены GitHub.
Все, по утверждению, скомпрометировано.
Вот почему это не обычный взлом:
Vercel контролирует процесс публикации NPM для одного из самых установленных пакетов JavaScript на Земле.
Если эти токены NPM настоящие, одно злонамеренное обновление пакета может достичь каждого разработчика, который устанавливает или обновляет Next.js.
Это не утечка данных.
Это атака на цепочку поставок масштаба, которого интернет редко видел.
6 миллионов скачиваний в неделю.
Одно скомпрометированное обновление.
Каждое приложение, построенное на Next.js, под угрозой.
Vercel заявляет, что сервисы работают и расследование продолжается.
Если вы разработчик, использующий Vercel:
- Немедленно смените переменные окружения.
- Не ждите завершения расследования.
- Включите функцию чувствительных переменных окружения немедленно.
Это ещё не конец.