قام Vercel وGitHub بالتأكد من أمان سلسلة توريد npm، وأن الحزمة لم يتم العبث بها

أعلنت الحساب الرسمي لشركة Vercel في 21 أبريل 2026، وبعد إجراء مراجعة مشتركة بين الأطراف الأربعة: GitHub وMicrosoft وnpm وSocket، تأكدت أن جميع الحزم التي نشرتها Vercel على npm لم يتم العبث بها، وأن سلسلة الإمداد ما زالت آمنة؛ وأشار بيان أمني تم تحديثه في اليوم نفسه إلى أن المتسرب في هذه الواقعة يتمثل في متغيرات بيئة العملاء غير الموسومة بأنها “حساسة”، والتي يتم فك تشفيرها في الخلفية وتخزينها بصيغة نصية واضحة.

حزم npm لم تتعرض للعبث: نتائج المراجعة المشتركة بين الأطراف الأربعة

وفقًا لإعلان Vercel بتاريخ 21 أبريل 2026، أكملت Vercel مراجعة مشتركة مع كل من GitHub وMicrosoft وnpm وSocket، وتأكدت من عدم تعرض جميع حزم البرامج مفتوحة المصدر التي تحافظ عليها Vercel على npm للعبث. وتشمل الحزم المذكورة Next.js وTurbopack وSWR وغيرها، بإجمالي عدد مرات التنزيل الشهري بمئات الملايين.

أسباب الحادث الأمني ونطاق المتأثرين

وفقًا لبيان الرئيس التنفيذي لشركة Vercel Guillermo Rauch، تم تسريب حساب موظف بسبب اختراق تعرضت له منصة Context.ai؛ وكانت Context.ai قد تم دمجها مع بيئات Vercel وتم منحها صلاحيات Google Workspace OAuth بمستوى النشر، وبعد أن تعرضت Context.ai للاختراق، حصل المهاجمون على وصول بامتيازات، ثم قاموا بتوسيع نطاق الوصول بشكل أكبر عبر تعداد موارد بيئات Vercel.

وفقًا للبيان الأمني المحدّث، فإن المتسرب هو متغيرات بيئة العملاء غير الموسومة بأنها “حساسة” (بعد فك تشفيرها في الخلفية وتخزينها بصيغة نصية واضحة)؛ وما إذا كانت هناك بيانات إضافية تم نقلها، ما زالت Vercel تحقق في الأمر. كما يوضح الإعلان أن حذف مشاريع Vercel أو الحساب نفسه لا يمكن أن يزيل المخاطر، إذ إن بيانات الاعتماد التي حصل عليها المهاجمون ما زالت قادرة على الاتصال المباشر بأنظمة الإنتاج، ويجب إعطاء الأولوية لإنهاء/تبديل مفاتيح التشفير.

تقول Vercel إن عدد العملاء المتأثرين محدود، ويشمل مئات المستخدمين عبر عدة جهات؛ ولم يتم إبلاغ المستخدمين الذين لم يصلهم إشعار بعد، ولا يوجد حاليًا سبب يجعلهم يعتقدون أن بيانات اعتماد حساب Vercel أو بياناتهم الشخصية قد تم تسريبها. تعمل Vercel حاليًا مع Mandiant وشركات أخرى للأمن السيبراني وجهات إنفاذ القانون لإجراء التحقيق.

تحديثات المنتج وتوصيات الإجراءات للعملاء

وفقًا لبيان Vercel الأمني، تشمل تحديثات المنتج التي تم إصدارها بالتزامن في 21 أبريل ما يلي: تغيير قيمة المتغيرات البيئية الجديدة الافتراضية إلى “حساسة” (sensitive: on)؛ وإضافة واجهة سجلات أنشطة أكثر كثافة ضمن Dashboard، وإدارة المتغيرات البيئية على مستوى الفريق؛ كما تم إدراج “تمكين المصادقة الثنائية” ضمن التوصيات الأمنية باعتباره بندًا ذا أولوية قصوى.

تقدم Vercel للعملاء توصيات محددة على النحو التالي:

· فحص تطبيقات OAuth المخصصة لـ Vercel في نشاط حساب Google Workspace

· تبديل جميع المتغيرات البيئية التي تتضمن مفاتيح API أو الرموز أو بيانات اعتماد قاعدة البيانات أو مفاتيح التوقيع (حتى لو كانت موسومة سابقًا على أنها غير حساسة)

· تمكين حماية المتغيرات الحساسة، والتحقق مما إذا كان هناك سلوك غير معتاد في عمليات النشر الأخيرة

الأسئلة الشائعة

هل تعرضت حزم Vercel على npm للعبث؟

وفقًا لإعلان Vercel بتاريخ 21 أبريل 2026، أجرت Vercel مراجعة مشتركة مع كل من GitHub وMicrosoft وnpm وSocket، وتأكدت من عدم تعرض جميع الحزم مثل Next.js وTurbopack وSWR للعبث، وأن أمان سلسلة الإمداد كامل.

ما سبب حادث الأمان الخاص بـ Vercel؟

وفقًا لبيان الرئيس التنفيذي لشركة Vercel Guillermo Rauch، كانت نقطة بدء الهجوم هي اختراق أداة ذكاء اصطناعي تابعة لجهة خارجية تُسمى Context.ai، وقد تم منح Context.ai سابقًا صلاحيات Google Workspace OAuth بمستوى النشر لبيئات Vercel، ما أتاح للمهاجمين الحصول على وصول بامتيازات والتعداد بشكل أكبر لموارد بيئات Vercel.

ما الإجراءات التي يجب على مستخدمي Vercel المتأثرين اتخاذها على الفور؟

وفقًا لبيان Vercel الأمني، يجب على المستخدمين المتأثرين إعطاء الأولوية لتبديل جميع متغيرات البيئة التي تتضمن مفاتيح API أو الرموز أو بيانات اعتماد قاعدة البيانات أو مفاتيح التوقيع؛ ويشير الإعلان أيضًا إلى أن حذف العناصر أو الحساب لا يمكن أن يعوض تبديل المفاتيح، إذ إن بيانات الاعتماد التي حصل عليها المهاجمون ما زالت قادرة على الاتصال المباشر بأنظمة الإنتاج.