Оновлення безпеки Vercel: пакет npm не був заражений, нові змінні середовища за замовчуванням мають статус «чутливі»

МЕ Новини повідомляє, 21 квітня (UTC+8), згідно з моніторингом Beating, офіційний акаунт Vercel 21 квітня вранці оголосив, що після спільної перевірки з GitHub, Microsoft, npm, Socket, Vercel не було підроблено жодного пакету, опублікованого на npm, і ланцюг постачання «залишається безпечним». Vercel підтримує на npm відкриті бібліотеки Next.js, Turbopack, SWR та інші, з загальним щомісячним обсягом завантажень у мільярди разів; якщо зловмисники використають облікові записи співробітників для підміни, вплив буде значно більшим, ніж у клієнтів Vercel. Ця перевірка усунула найбільший ризик, пов’язаний із цим інцидентом. У той же день було оновлено три деталі у офіційному повідомленні про безпеку. Вперше чітко визначено обсяг впливу до рівня полів. У повідомленні зазначено, що було скомпрометовано частину клієнтських змінних середовища, які не були позначені як «чутливі», і після розшифрування у бекенді зберігалися у відкритому вигляді. Чи було викрадено більше даних, Vercel досі з’ясовує. У рекомендаціях для клієнтів з’явилася нова порада: «видалення проекту або облікового запису Vercel не усуне ризик». Спершу потрібно змінити всі ключі, не позначені як чутливі, а вже потім видаляти — інакше зловмисники зможуть безпосередньо підключитися до виробничої системи за допомогою отриманих облікових даних. На стороні продукту змінено значення за замовчуванням. Створювані нові змінні середовища тепер автоматично позначаються як «чутливі» (sensitive: on). Старі облікові записи раніше додавали змінні як звичайні, і їх потрібно вручну активувати як чутливі. Це і був безпосередній шлях, яким зловмисники могли прочитати відкриті змінні. Панель керування оновилася, тепер там є більш щільний інтерфейс журналу активності та управління змінними середовища на рівні команди; у всіх рекомендаціях з безпеки «увімкнути двофакторну автентифікацію» винесено на перше місце. (Джерело: BlockBeats)