A VERCEL FOI RECENTEMENTE COMPROMETIDA. E ESTA É DIFERENTE.

A Vercel possui o Next.js.
O Next.js recebe 6 MILHÕES de downloads toda semana.
O mesmo grupo de hackers por trás da violação na Comissão Europeia e na Rockstar Games acabou de reivindicar a responsabilidade.
Eles estão vendendo dados internos da Vercel por $2 milhões.
Chaves de acesso. Código fonte. Contas de funcionários. Chaves de API. Tokens NPM. Tokens do GitHub.
Tudo alegadamente comprometido.
Aqui está o motivo pelo qual isto não é uma violação normal:
A Vercel controla o pipeline de publicação do NPM para um dos pacotes JavaScript mais instalados do mundo.
Se esses tokens NPM forem reais, uma única atualização maliciosa do pacote pode alcançar todos os desenvolvedores que instalarem ou atualizarem o Next.js.
Isso não é um vazamento de dados.
É um ataque à cadeia de suprimentos numa escala que a internet raramente viu.
6 milhões de downloads semanais.
Uma atualização comprometida.
Cada aplicação construída com Next.js está em risco.
A Vercel afirma que os serviços estão operacionais e a investigação continua.
Se você é um desenvolvedor que usa a Vercel:
- Roteie suas variáveis de ambiente agora mesmo.
- Não espere a conclusão da investigação.
- Ative imediatamente o recurso de variáveis de ambiente sensíveis.
Este não acabou.