// Popular Articles
Vercel xác nhận: không có npm package nào bị xâm nhập sau vụ breach tháng 4/2026
Sau khi ShinyHunters rao bán dữ liệu nội bộ Vercel trên BreachForums với giá 2 triệu USD, đội ngũ bảo mật Vercel — phối hợp cùng GitHub, Microsoft, npm và Socket — đã hoàn tất audit chuỗi cung ứng và khẳng định: không có gói npm nào do Vercel phát hành bị can thiệp. Next.js, Turbopack và toàn bộ open-source ecosystem vẫn an toàn. Tuy nhiên, đây không phải là dấu chấm hết — khách hàng trực tiếp của Vercel vẫn cần rotate toàn bộ env vars non-sensitive.
Vercel bị tấn công: Hacker đòi 2 triệu USD, kêu gọi toàn bộ khách hàng xoay secrets ngay
Vercel xác nhận bị truy cập trái phép vào hệ thống nội bộ ngày 19/4/2026 qua OAuth app của Context.ai. Hacker đòi 2 triệu USD, rao bán source code và token. Tất cả khách hàng cần xoay env variables và redeploy ngay.
Vercel bị xâm nhập: ShinyHunters rao bán database nội bộ $2M — tại sao mọi dev Next.js nên rotate secrets ngay
Ngày 19/04/2026, Vercel xác nhận bị xâm nhập hệ thống nội bộ. Cùng lúc, nhóm ShinyHunters (thủ phạm vụ Ticketmaster 560M) rao bán data nội bộ của Vercel giá $2M trên BreachForums, bao gồm NPM tokens, GitHub tokens và source code. Đây là lý do mọi dev Next.js cần rotate secrets ngay lập tức.