据监测,Vercel于4月21日宣布,经与GitHub、Microsoft、npm、Socket联合排查,确认其在npm上发布的Next.js、Turbopack、SWR等开源包均未被篡改,供应链安全。
事件细节更新:
- 泄露范围明确:遭泄露的是未被标记为「敏感」的客户环境变量,其在后台解密后以明文存储。是否有更多数据泄露仍在调查。
- 关键风险提示:删除Vercel项目或账号本身无法消除风险。必须优先轮换所有未标记为敏感的密钥,否则攻击者凭已窃取的凭证仍可直连生产系统。
- 产品默认值更改:新建环境变量现在默认即标记为「敏感」。此前,老账号新增变量默认普通,需手动勾选才启用敏感保护,这正是本次攻击的入口。
- 安全功能更新:Dashboard上线了更密集的活动日志和团队级环境变量管理界面,并将「启用双因素认证」置于安全建议首位。
