Офіційний акаунт Vercel 21 квітня 2026 року оголосив, що після узгодженої перевірки чотирма сторонами — GitHub, Microsoft, npm та Socket — підтверджено: усі пакети, опубліковані Vercel у npm, не зазнали втручання, а ланцюг постачання залишається безпечним; безпекове повідомлення, яке оновили того ж дня, вказує, що під час цієї події витекли змінні середовища клієнтів, які не були позначені як «чутливі», і після розшифрування в бекенді зберігалися у вигляді відкритого тексту.
Пакети npm не зазнали втручання: результати спільної перевірки чотирма сторонами
Згідно з оголошенням Vercel від 21 квітня 2026 року, Vercel завершив спільну перевірку з GitHub, Microsoft, npm та Socket, підтвердивши, що всі відкриті пакети з підтримкою Vercel у npm не зазнали втручання. До згаданих пакетів входять Next.js, Turbopack та SWR тощо; загальний місячний обсяг завантажень — на рівні сотень мільйонів.
Причина безпекової події та коло постраждалих
Згідно з заявою генерального директора Vercel Гільєрмо Рауха (Guillermo Rauch), акаунт одного співробітника було скомпрометовано внаслідок злому на платформі Context.ai і це спричинило витік; Context.ai уже інтегрована з середовищами Vercel та отримала права рівня розгортання Google Workspace OAuth. Після того як зловмисники зламали Context.ai, вони отримали доступ із підвищеними привілеями, а далі розширили охоплення, перераховуючи (enumerating) ресурси середовищ Vercel.
Згідно з оновленим безпековим повідомленням, витекли змінні середовища клієнтів, які не були позначені як «чутливі» (після розшифрування в бекенді зберігалися у вигляді відкритого тексту); чи було вивезено більше даних, Vercel усе ще розслідує. Оголошення також пояснює, що видалення проєктів Vercel або самого акаунта не усуває ризик: облікові дані, які отримав нападник, і надалі можуть напряму під’єднуватися до production-систем, тому необхідно першочергово завершити ротацію ключів.
Vercel зазначає, що кількість клієнтів, яких це стосується, є обмеженою та охоплює сотні користувачів у кількох організаціях; користувачі, яким наразі не надсилали повідомлення, не мають підстав вважати, що їхні облікові дані для Vercel або персональні дані було витікнено. Vercel співпрацює з Mandiant, іншими компаніями з кібербезпеки та правоохоронними органами для проведення розслідування.
Оновлення продукту та рекомендації клієнтам щодо дій
Згідно з безпековим повідомленням Vercel, продуктове оновлення, яке синхронно запустили 21 квітня, включає: створення нових змінних середовища з передвстановленням «чутливі» (sensitive: on); Dashboard доповнили більш детальним інтерфейсом журналів активності та керуванням змінними середовища на рівні команд; у переліку безпекових рекомендацій пункт «увімкнути двофакторну автентифікацію» визначено як пріоритет №1.
Конкретні рекомендації Vercel для клієнтів такі:
· Перевірте в активностях облікового запису Google Workspace OAuth-додаток, який призначено Vercel
· Ротуйте всі змінні середовища, що містять API-ключі, токени, облікові дані для бази даних або підписні ключі (навіть якщо раніше вони були позначені як не «чутливі»)
· Увімкніть захист для чутливих змінних і перевірте, чи немає аномалій у недавніх розгортаннях
Поширені запитання
Чи зазнали втручання пакети Vercel у npm?
Згідно з оголошенням Vercel від 21 квітня 2026 року, Vercel провів спільну перевірку з GitHub, Microsoft, npm та Socket і підтвердив, що всі пакети, зокрема Next.js, Turbopack та SWR, не зазнали втручання; ланцюг постачання безпечний і повністю надійний.
Яка причина цієї безпекової події Vercel?
Згідно із заявою генерального директора Vercel Гільєрмо Рауха (Guillermo Rauch), точкою старту атаки стало компрометування стороннього AI-інструмента Context.ai; раніше Context.ai було надано права OAuth Google Workspace рівня розгортання для середовищ Vercel. Зловмисники скористалися цим для отримання доступу з підвищеними привілеями та далі перерахували (enumerating) ресурси середовищ Vercel.
Які дії постраждалим користувачам Vercel слід виконати першочергово?
Згідно з безпековим повідомленням Vercel, постраждалі користувачі мають насамперед ротикувати всі змінні середовища, що містять API-ключі, токени, облікові дані бази даних або підписні ключі; у повідомленні також пояснюється, що видалення проєктів або акаунта не може замінити ротацію ключів, оскільки облікові дані, які отримав нападник, і надалі можуть напряму під’єднуватися до production-систем.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
