// Popular Articles
Vercel xác nhận: không có npm package nào bị xâm nhập sau vụ breach tháng 4/2026
Sau khi ShinyHunters rao bán dữ liệu nội bộ Vercel trên BreachForums với giá 2 triệu USD, đội ngũ bảo mật Vercel — phối hợp cùng GitHub, Microsoft, npm và Socket — đã hoàn tất audit chuỗi cung ứng và khẳng định: không có gói npm nào do Vercel phát hành bị can thiệp. Next.js, Turbopack và toàn bộ open-source ecosystem vẫn an toàn. Tuy nhiên, đây không phải là dấu chấm hết — khách hàng trực tiếp của Vercel vẫn cần rotate toàn bộ env vars non-sensitive.
Elysia chuyển npm scope: từ @elysiajs sang @elysia
SaltyAom vừa công bố Elysia đổi scope plugin trên npm: bun install @elysia/eden thay vì @elysiajs/eden. Patch cho scope cũ vẫn chạy tới khi Elysia 2 ra mắt, nhưng dev được khuyến nghị migrate sớm. Cùng xem thay đổi, lý do, và cách update dự án.
Critical RCE in protobuf.js (GHSA-xq3m-2v4x-88gg): A Malicious Schema Is All It Takes
Endor Labs disclosed a CVSS 9.9 code-execution flaw in protobuf.js — the 52M-downloads-per-week JavaScript Protobuf library. Loading an attacker-controlled .proto schema is enough to run arbitrary code on the host. Here's the root cause, the one-line patch, and who's actually exposed.