Vercel 确认安全事件，暗网卖家声称掌握核心访问权限

云托管平台 Vercel 于 4 月 19 日发布安全公告，确认内部系统遭遇未经授权访问。该公司表示已启动调查，聘请了安全事件响应专家，并通知了执法部门。

暗网出售声明

几乎在同一时间，暗网论坛 BreachForums 上出现了一则出售帖，声称拥有 Vercel 的内部访问权限。卖家自称属于黑客组织 ShinyHunters，以 200 万美元的价格挂牌出售包含 API 密钥、NPM 令牌、GitHub 令牌在内的敏感数据，并展示了部分内部数据库结构和 Linear 项目管理系统的访问截图。

争议与疑点

目前该事件存在多个未确认的关键信息：

有安全研究员指出，这名卖家很可能并非真正的 ShinyHunters 成员，而是冒充者。真正的 ShinyHunters 组织曾在其官方网站上声明不使用 Telegram，而此次出售帖正是通过 Telegram 渠道传播的。

此外，信息安全研究员 Ryan Moran 表示自己此前对该冒充者进行过分析，并已向 Vercel 通报了相关信息。

Vercel 官方回应

Vercel 的官方安全公告措辞较为克制，确认"有限数量的客户受到影响"且正在直接联系这些客户，但未披露被访问系统的具体范围、数据泄露程度或攻击者身份。

官方建议所有用户：

• 审查项目中的环境变量
• 使用 Vercel 提供的敏感环境变量功能
• 如需技术支持，通过 vercel.com/help 联系

供应链影响

Vercel 是 Next.js 的创建者和维护者，该框架每周下载量超过 600 万次。如果攻击者确实获得了 NPM 发布令牌，理论上可以在 Next.js 包中植入恶意代码，影响全球范围内的开发者。不过目前尚无证据表明 NPM 包已被篡改。

对于部署在 Vercel 上的项目，最紧迫的风险是环境变量泄露——攻击者可能获取数据库凭证、API 密钥等敏感信息。

来源：Vercel Security Bulletin · BreachForums · DiffeKey