เมื่อวันที่ 21 เมษายน 2026 บัญชีทางการของ Vercel ได้ประกาศว่า หลังจากการตรวจสอบร่วมกันระหว่าง GitHub, Microsoft, npm และ Socket ได้ยืนยันว่าแพ็กเกจทั้งหมดที่ Vercel เผยแพร่บน npm ไม่ถูกดัดแปลง และห่วงโซ่อุปทานยังคงปลอดภัย;คำชี้แจงด้านความปลอดภัยที่อัปเดตในวันเดียวกันระบุว่า ในเหตุการณ์ครั้งนี้ข้อมูลที่ถูกเปิดเผยคือ ตัวแปรสภาพแวดล้อมของลูกค้าที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” ซึ่งหลังจากถอดรหัสในฝั่งแบ็กเอนด์แล้วจะถูกจัดเก็บในรูปแบบข้อความชัด
แพ็กเกจ npm ไม่ถูกดัดแปลง:ผลการตรวจสอบร่วมกันของทั้งสี่ฝ่าย
ตามประกาศของ Vercel เมื่อวันที่ 21 เมษายน 2026 Vercel ได้เสร็จสิ้นการตรวจสอบร่วมกันกับ GitHub, Microsoft, npm และ Socket โดยยืนยันว่าแพ็กเกจโอเพนซอร์สทั้งหมดที่ Vercel ดูแลบน npm ไม่ถูกดัดแปลง แพ็กเกจดังกล่าวรวมถึง Next.js, Turbopack และ SWR เป็นต้น โดยมีจำนวนการดาวน์โหลดรวมหลายร้อยล้านครั้งต่อเดือน
สาเหตุของเหตุการณ์ความปลอดภัยและขอบเขตที่ได้รับผลกระทบ
ตามคำแถลงของ Guillermo Rauch ประธานเจ้าหน้าที่บริหารของ Vercel บัญชีพนักงานหนึ่งถูกบุกรุกจากแพลตฟอร์ม Context.ai และเกิดการรั่วไหล;Context.ai ได้มีการบูรณาการกับสภาพแวดล้อมของ Vercel และได้รับสิทธิ์ระดับการปรับใช้ของ Google Workspace OAuth;หลังจากที่ผู้โจมตีทำให้ Context.ai ถูกบุกรุกได้สำเร็จ จึงใช้เพื่อเข้าถึงสิทธิพิเศษ และขยายขอบเขตการเข้าถึงต่อไปด้วยการไล่สำรวจทรัพยากรของสภาพแวดล้อม Vercel
ตามคำชี้แจงด้านความปลอดภัยที่อัปเดต ข้อมูลที่ถูกเปิดเผยคือ ตัวแปรสภาพแวดล้อมของลูกค้าที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” (หลังจากถอดรหัสในฝั่งแบ็กเอนด์แล้วจะถูกจัดเก็บในรูปแบบข้อความชัด) หากมีข้อมูลเพิ่มเติมถูกนำออกไปหรือไม่ ขณะนี้ Vercel ยังอยู่ระหว่างการสอบสวน คำชี้แจงยังระบุด้วยว่า การลบโปรเจกต์ของ Vercel หรือการลบตัวบัญชีเองไม่สามารถขจัดความเสี่ยงได้ เนื่องจากข้อมูลประจำตัวที่ผู้โจมตีได้มานั้นยังสามารถเชื่อมต่อระบบการผลิตได้โดยตรง จึงต้องดำเนินการหมุนเวียนกุญแจให้เสร็จก่อนเป็นอันดับแรก
Vercel ระบุว่าจำนวนลูกค้าที่ได้รับผลกระทบมีจำกัด และเกี่ยวข้องกับผู้ใช้หลายร้อยรายจากหลายองค์กร;สำหรับผู้ใช้ที่ยังไม่ได้รับการแจ้งเตือนในขณะนี้ ไม่มีเหตุผลที่จะเชื่อว่าข้อมูลประจำตัวของบัญชี Vercel หรือข้อมูลส่วนบุคคลของตนถูกเปิดเผยไปแล้ว Vercel กำลังทำงานร่วมกับ Mandiant บริษัทความปลอดภัยทางไซเบอร์อื่น ๆ และหน่วยงานบังคับใช้กฎหมายเพื่อทำการสอบสวน
อัปเดตผลิตภัณฑ์และคำแนะนำการดำเนินการสำหรับลูกค้า
ตามคำชี้แจงด้านความปลอดภัยของ Vercel อัปเดตผลิตภัณฑ์ที่เปิดตัวพร้อมกันในวันที่ 21 เมษายน มีดังนี้:การตั้งค่าตัวแปรสภาพแวดล้อมใหม่ให้เป็น “ละเอียดอ่อน” โดยค่าเริ่มต้น (sensitive: on);Dashboard เพิ่มอินเทอร์เฟซบันทึกกิจกรรมที่ละเอียดขึ้น และการจัดการตัวแปรสภาพแวดล้อมระดับทีม;ในการแนะนำด้านความปลอดภัย “เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย” ถูกระบุให้เป็นเรื่องสำคัญอันดับแรก
คำแนะนำการดำเนินการเฉพาะสำหรับลูกค้าของ Vercel มีดังนี้:
· ตรวจสอบแอป OAuth ที่ Vercel กำหนดในกิจกรรมของบัญชี Google Workspace
· หมุนเวียนตัวแปรสภาพแวดล้อมทั้งหมดที่มี API key, token, ข้อมูลรับรองฐานข้อมูล หรือ signing key (แม้ว่าก่อนหน้านี้จะถูกทำเครื่องหมายว่าไม่ละเอียดอ่อนก็ตาม)
· เปิดใช้งานการปกป้องตัวแปรที่ละเอียดอ่อน และตรวจสอบว่ามีความผิดปกติเกิดขึ้นกับการปรับใช้ในช่วงที่ผ่านมา
คำถามที่พบบ่อย
แพ็กเกจของ Vercel บน npm ถูกดัดแปลงหรือไม่?
ตามประกาศของ Vercel เมื่อวันที่ 21 เมษายน 2026 Vercel ได้ทำการตรวจสอบร่วมกันกับ GitHub, Microsoft, npm และ Socket เพื่อยืนยันว่าแพ็กเกจทั้งหมด รวมถึง Next.js, Turbopack และ SWR ไม่ถูกดัดแปลง และความปลอดภัยของห่วงโซ่อุปทานยังคงสมบูรณ์
สาเหตุของเหตุการณ์ความปลอดภัยของ Vercel ครั้งนี้คืออะไร?
ตามคำแถลงของ Guillermo Rauch ประธานเจ้าหน้าที่บริหารของ Vercel จุดเริ่มต้นของการโจมตีคือเครื่องมือ AI บุคคลที่สาม Context.ai ที่ถูกบุกรุก ก่อนหน้านี้ Context.ai ได้รับสิทธิ์ระดับการปรับใช้ของ Google Workspace OAuth สำหรับสภาพแวดล้อมของ Vercel ทำให้ผู้โจมตีได้รับการเข้าถึงแบบมีสิทธิพิเศษ และสามารถไล่สำรวจทรัพยากรของสภาพแวดล้อม Vercel ต่อไปได้
ผู้ใช้ Vercel ที่ได้รับผลกระทบควรดำเนินการอย่างไรก่อนเป็นอันดับแรก?
ตามคำชี้แจงด้านความปลอดภัยของ Vercel ผู้ใช้ที่ได้รับผลกระทบควรหมุนเวียนตัวแปรสภาพแวดล้อมทั้งหมดก่อนเป็นอันดับแรกที่มี API key, token, ข้อมูลรับรองฐานข้อมูล หรือ signing key;คำชี้แจงยังระบุด้วยว่า การลบโปรเจกต์หรือการลบบัญชีไม่สามารถทดแทนการหมุนเวียนกุญแจได้ เนื่องจากข้อมูลประจำตัวที่ผู้โจมตีได้มานั้นยังสามารถเชื่อมต่อระบบการผลิตได้โดยตรง
