A Vercel e o GitHub confirmaram a segurança da cadeia de suprimentos de npm, e o pacote não foi adulterado

A conta oficial da Vercel em 21 de abril de 2026 anunciou que, após verificar conjuntamente com o GitHub, a Microsoft, o npm e o Socket, confirmou que todos os pacotes publicados pela Vercel no npm não foram adulterados; a cadeia de suprimentos continua segura; a atualização de um boletim de segurança no mesmo dia afirma que o que foi exposto neste incidente foram variáveis de ambiente do ambiente do cliente que não estavam marcadas como “sensíveis” e que, após descriptografia no back-end, foram armazenadas em texto puro.

Pacotes do npm não adulterados: resultado da verificação conjunta entre quatro partes

De acordo com o comunicado da Vercel de 21 de abril de 2026, a Vercel concluiu uma verificação conjunta com o GitHub, a Microsoft, o npm e o Socket, confirmando que todos os pacotes de código aberto mantidos pela Vercel no npm não foram adulterados. Os pacotes acima incluem Next.js, Turbopack e SWR, entre outros, com um total de downloads mensais na casa de centenas de milhões.

Causa do incidente de segurança e escopo afetado

De acordo com a declaração do CEO da Vercel, Guillermo Rauch, uma conta de funcionário teve informações vazadas devido a invasão sofrida pela plataforma Context.ai; a Context.ai já se integra ao ambiente da Vercel e recebeu permissões de OAuth do Google Workspace no nível de implantação; após a Context.ai ser comprometida, o atacante obteve acesso privilegiado por meio disso e expandiu ainda mais o alcance do acesso ao enumerar recursos do ambiente da Vercel.

De acordo com o boletim de segurança atualizado, o que foi exposto foram variáveis de ambiente do cliente que não estavam marcadas como “sensíveis” (armazenadas em texto puro após descriptografia no back-end); se mais dados foram levados, a Vercel ainda está investigando. O comunicado também explica que excluir um projeto da Vercel ou a própria conta não elimina o risco; as credenciais obtidas pelo atacante ainda podem se conectar diretamente ao sistema de produção, e é necessário concluir prioritariamente a rotação das chaves.

A Vercel afirma que a quantidade de clientes afetados é limitada, envolvendo centenas de usuários de várias instituições; os usuários que ainda não receberam notificações, no momento, não têm motivos para acreditar que as credenciais de suas contas na Vercel ou seus dados pessoais tenham sido expostos. A Vercel está trabalhando com a Mandiant, outras empresas de segurança cibernética e autoridades policiais para realizar a investigação.

Atualizações do produto e recomendações de ação para clientes

De acordo com o boletim de segurança da Vercel, as atualizações de produto lançadas em 21 de abril incluem: novas variáveis de ambiente com o padrão definido como “sensíveis” (sensitive: on); o Dashboard adicionou uma interface de registros de atividades mais densa e a gestão de variáveis de ambiente em nível de equipe; em “habilitar autenticação multifator”, a recomendação de segurança foi listada como item prioritário.

As recomendações de ação específicas da Vercel para clientes são as seguintes:

· Verificar os aplicativos OAuth designados pela Vercel na atividade da conta do Google Workspace

· Rotacionar todas as variáveis de ambiente que contenham chaves de API, tokens, credenciais de banco de dados ou chaves de assinatura (mesmo que anteriormente estivessem marcadas como não sensíveis)

· Habilitar a proteção de variáveis sensíveis e verificar se houve alguma anomalia nas implantações recentes

Perguntas frequentes

Os pacotes da Vercel no npm foram adulterados?

De acordo com o comunicado da Vercel de 21 de abril de 2026, a Vercel realizou uma verificação conjunta com o GitHub, a Microsoft, o npm e o Socket, confirmando que todos os pacotes, incluindo Next.js, Turbopack e SWR, não foram adulterados; a segurança da cadeia de suprimentos está íntegra.

Qual é a origem do incidente de segurança da Vercel desta vez?

De acordo com a declaração do CEO da Vercel, Guillermo Rauch, o ponto de ataque foi a invasão da ferramenta de IA de terceiros Context.ai; a Context.ai anteriormente já havia recebido permissões OAuth do Google Workspace no nível de implantação para o ambiente da Vercel; ao aproveitar isso, o atacante obteve acesso privilegiado e enumerou ainda mais os recursos do ambiente da Vercel.

Quais ações os usuários da Vercel afetados devem priorizar?

De acordo com o boletim de segurança da Vercel, os usuários afetados devem priorizar a rotação de todas as variáveis de ambiente que contenham chaves de API, tokens, credenciais de banco de dados ou chaves de assinatura; o comunicado também explica que excluir projetos ou a conta não substitui a rotação das chaves, pois as credenciais obtidas pelo atacante ainda podem se conectar diretamente ao sistema de produção.