Notícia da ME, 21 de abril (UTC+8): De acordo com monitoramento da Beating, a conta oficial da Vercel anunciou na manhã de 21 de abril que, após uma investigação conjunta com GitHub, Microsoft, npm e Socket, constatou-se que nenhum pacote publicado pela Vercel no npm foi alterado, e a cadeia de suprimentos permanece "segura". A Vercel mantém bibliotecas de código aberto no npm, como Next.js, Turbopack e SWR, com um volume total de downloads mensal na casa das centenas de milhões. Se um atacante tivesse comprometido uma conta de funcionário para envenenar esses pacotes, o impacto teria superado em muito os próprios clientes da Vercel. Esta verificação eliminou o maior risco associado ao incidente. No mesmo dia, o aviso de segurança oficial foi atualizado com três novos detalhes. O escopo do impacto foi especificado pela primeira vez até o nível de campos. O comunicado afirma que as variáveis de ambiente dos clientes vazadas eram aquelas não marcadas como "sensíveis", que eram armazenadas em texto simples após serem descriptografadas no backend. A Vercel ainda está investigando se mais dados foram extraídos. Uma nova recomendação foi adicionada aos clientes: "Excluir projetos ou contas da Vercel não elimina o risco". É necessário primeiro rotacionar todas as chaves não marcadas como sensíveis antes de considerar a exclusão, pois os credenciais obtidos pelos atacantes ainda permitem acesso direto aos sistemas de produção. Do lado do produto, o valor padrão foi alterado. Agora, novas variáveis de ambiente são definidas como "sensíveis" por padrão (sensitive: on). Em contas antigas, as variáveis adicionadas anteriormente eram definidas como padrão como tipo comum, exigindo seleção manual para ativar a opção sensível — este foi exatamente o ponto de entrada direto que permitiu aos atacantes ler as variáveis em texto simples. O dashboard também lançou uma interface de logs de atividade mais detalhada e gerenciamento de variáveis de ambiente por equipe; todas as recomendações de segurança agora destacam "ativar autenticação de dois fatores" como a prioridade máxima. (Fonte: BlockBeats)
Vercel confirma que pacotes npm não foram afetados no incidente de segurança
KuCoinFlashCompartilhar
Resumo
A Vercel confirmou que seus pacotes npm não foram afetados em uma recente violação de segurança. A empresa afirmou que o Next.js, o Turbopack e o SWR permaneceram inalterados após uma investigação conjunta com o GitHub, a Microsoft, o npm e a Socket. A Vercel atualizou seu aviso de segurança, observando que apenas variáveis de ambiente não sensíveis foram expostas. A empresa agora marca novas variáveis como sensíveis por padrão e aprimorou as ferramentas do painel para logs de atividade e gerenciamento por nível de equipe. As notícias on-chain continuam destacando atualizações de segurança da cadeia de suprimentos em plataformas principais.
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.