Vercel 刚刚遭遇入侵。这次情况不同。

Vercel 拥有 Next.js。
Next.js 每周下载量达 600 万次。
背后同一个黑客组织，曾攻击欧洲委员会和 Rockstar Games，现在声称对此次入侵负责。
他们正在出售 Vercel 的内部数据，价值 $2 百万。
访问密钥。源代码。员工账户。API 密钥。NPM 令牌。GitHub 令牌。
所有这些都涉嫌被泄露。
这就是为什么这次不是普通的安全漏洞：
Vercel 控制着全球最常用的 JavaScript 包之一的 NPM 发布流程。
如果这些 NPM 令牌是真实的，一个恶意的包更新就可能影响每一个安装或更新 Next.js 的开发者。
这不是数据泄露。
而是一场规模空前的供应链攻击。
每周 600 万次下载。
一次被破坏的更新。
所有基于 Next.js 构建的应用都处于风险中。
Vercel 表示服务正常运行，调查仍在进行中。
如果你是使用 Vercel 的开发者：
- 立即轮换你的环境变量。
- 不要等到调查结束。
- 立即启用敏感环境变量功能。
这场危机还没有结束。