VERCELがついに侵害された。そしてこれはこれまでと違う。

VercelはNext.jsを所有している。
Next.jsは毎週600万回のダウンロードを記録している。
欧州委員会の侵害やロックスター・ゲームズの侵害の背後にいるハッカーグループが責任を認めた。
彼らはVercelの内部データを$2 百万で販売している。
アクセスキー。ソースコード。従業員アカウント。APIキー。NPMトークン。GitHubトークン。
すべてが侵害されたとされている。
これが通常の侵害と異なる理由は以下の通り：
Vercelは世界で最もインストールされているJavaScriptパッケージの一つのNPM公開パイプラインを管理している。
もしこれらのNPMトークンが本物なら、1つの悪意のあるパッケージの更新がNext.jsをインストールまたは更新するすべての開発者に届く可能性がある。
これはデータ漏洩ではない。
これはインターネットがこれまでにほとんど見たことのない規模のサプライチェーン攻撃だ。
週6百万回のダウンロード。
1つの侵害されたアップデート。
Next.js上で構築されたすべてのアプリが危険にさらされている。
Vercelはサービスは稼働中で調査が進行中だと述べている。
Vercelを利用している開発者の皆さんへ：
- 今すぐ環境変数をローテーションしてください。
- 調査の完了を待たないでください。
- 機密性の高い環境変数の機能を直ちに有効にしてください。
これは終わっていない。