A VERCEL ACABOU DE SER VAZADA. E ESTA É DIFERENTE.

A Vercel possui o Next.js.
O Next.js recebe 6 MILHÕES de downloads toda semana.
O mesmo grupo de hackers por trás da violação na Comissão Europeia e na Rockstar Games acabou de reivindicar a responsabilidade.
Eles estão vendendo dados internos da Vercel por $2 milhões.
Chaves de acesso. Código fonte. Contas de funcionários. Chaves de API. Tokens NPM. Tokens do GitHub.
Tudo supostamente comprometido.
Aqui está o motivo pelo qual isso não é uma violação normal:
A Vercel controla o pipeline de publicação do NPM para um dos pacotes JavaScript mais instalados do mundo.
Se esses tokens NPM forem reais, uma única atualização maliciosa de pacote pode alcançar todos os desenvolvedores que instalarem ou atualizarem o Next.js.
Isso não é um vazamento de dados.
É um ataque à cadeia de suprimentos em uma escala que a internet raramente viu.
6 milhões de downloads semanais.
Uma atualização comprometida.
Cada aplicativo construído com Next.js está em risco.
A Vercel diz que os serviços estão operacionais e a investigação está em andamento.
Se você é um desenvolvedor que usa a Vercel:
- Altere suas variáveis de ambiente agora mesmo.
- Não espere a conclusão da investigação.
- Ative imediatamente o recurso de variáveis de ambiente sensíveis.
Este não acabou.