当前位置:主页 > 业界 >

Vercel安全事件更新:npm包未被污染,新建环境变量默认即“敏感”

时间:2026-04-21 12:54:43

  消息,4 月 21 日,据 动察 Beating 监测,Vercel 官方账号 4 月 21 日上午宣布,称与 GitHub、Microsoft、npm、Socket 四方联合排查后,Vercel 在 npm 上发布的任何包均未被篡改,供应链「仍然安全」。Vercel 在 npm 上维护 Next.js、Turbopack、SWR 等开源库,合计每月下载量以亿次计,若被攻击者借员工账号投毒,影响会远超 Vercel 自身客户。这次核查排除了事件里最大的一项连带风险。 同日官方安全公告同步更新三处细节。受影响范围首次明确到字段级别。公告称,遭泄露的是未被标记为「敏感」的那部分客户环境变量,其在后台解密后以明文存储。是否有更多数据被带走,Vercel 仍在调查。给客户的建议里多了一条「删除 Vercel 项目或账号本身不能消除风险」。必须先轮换所有未标记为敏感的密钥,再考虑删除动作,攻击者拿到的凭证仍可直连生产系统。 产品侧改了默认值。新建环境变量现在默认即是「敏感」。老账号过去新增变量默认是普通类型,要手动勾选才启用敏感。这正是本次攻击者能读到明文变量的直接入口。Dashboard 同步上线了更密集的活动日志界面和团队级环境变量管理;所有安全建议里「启用双因素认证」被顶到最前。

热点推荐
1 美联储褐皮书:经济持续增长,但不确定

消息,美联储的褐皮书显示,美国经济以温和的速度持续增长,但面临更大的不确定性。褐皮...

2 Tom Lee的Bitmine增持6000枚BMNR,价值约1118万

消息,据链上数据,Tom Lee的Bitmine最近增持了6000枚BMNR,按当前价格计算,价值约1118万美元。...

3 Arthur Hayes从Galaxy Digital收到646.33枚ETH,向

消息,据onchain lens监测,Arthur Hayes从Galaxy Digital收到646.33枚ETH,价值约124万美元,并向FalconX转...

4 黑石集团目标2030年数字资产收入达5亿美

消息,黑石集团计划到2030年实现500万美元的数字资产收入,并加大对代币化的投资力度。...

5 SEC允许IBIT期权合约限额从25万增至100万

消息,美国证券交易委员会已批准将IBIT期权的头寸和行使限额从250,000合约提高至1,000,000合约。...

6 美联储主席沃什:将审视工具应对通胀

消息,美联储主席沃什表示,联邦储备将审视其工具,包括资产负债表和利率,以判断是否需...

7 Bitwise Bitcoin ETF:高效执行,但分配至关重

该基金在行业内拥有最低的费用之一,其交易差价也同样紧密。分析师声明:我/我们在文中提...

8 美联储主席沃什将出席参议院听证会

消息,美联储主席沃什将于十分钟后出席参议院银行、住房与城市事务委员会的美联储半年度...

9 ASML CEO:确认今年可交付65台低NA EUV机,

消息,ASML CEO确认公司今年有能力交付65台低NA EUV机器,这将推动AI芯片的供应。ASML增加的EUV机...

10 阿联酋国家银行通过Partior启用区块链支付

消息,阿联酋国家银行已在Partior网络上正式启用区块链支付,这是中东、北非和土耳其地区首...

成都来彰科技 蜀ICP备2025134723号-1

资讯来源互联网,如有版权问题请联系管理员删除。