知名云开发平台 #Vercel# 遭到黑客攻击，以窃取数据勒索赎金而闻名的黑客团伙 ShinyHunter 通过 Context AI 入侵 Vercel 员工进而获得权限。 Vercel 目前正在私下联系所有受影响的客户，用户也可以检查谷歌授权应用，如果发现下面这个授权应用即代表遭到攻击。 查看详情： Google OAuth应用： 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent[.]com (谷歌官方似乎已经删除该应用，不知道能否查看到授权历史)

5月7日。Canvas （Instructure） 遭遇全球性宕机： Instructure（Canvas 母公司）正在应对一起重大网络安全事件，被黑客组织ShinyHunters 攻击/勒索。Canvas、Canvas Beta、Canvas Test 全部下线，全美包括哈佛、宾大、宾州州立、俄克拉荷马州立等几千所学校都受影响，已经有近一万人在 Downdetector 上报告问题。登录失败都是这个原因。 图二是黑客组织直接贴在 Canvas 页面上的勒索信。

游戏开发商 R 星遭到黑客攻击被窃取数据索要赎金，R 星：爱咋咋无所谓，赎金是不可能支付的。发起攻击的黑客也是 ShinyHunter，这个黑客团队要求 R 星联系并支付赎金，否则就等着数据被公开，不过 R 星称被窃取的都是重要性不高的数据，对公司和玩家来说没影响。查看详情：

[e嫂巨乳性感女秘书之油亮丝袜的诱惑] [Milky's Sexy Boobs Secretary] 穿油亮丝袜上班的嫂子，今晚又要被内射了吗？😘 The boss requires my wife to wear shiny stockings to work. Looks like she's going to get penetrated again tonight.😘 @ToBuerma @ToBulaer @KawasawaSen @BulmaList

🖤油亮到发光的极薄黑丝…已经湿得反光了💦 脚掌、脚心、大腿内侧，每一寸都亮晶晶的，像涂了层淫靡的油 把腿张开，花园轮廓全被油光黑丝包裹得紧紧的… @ToBulaer @ToBuerma @KawasawaSen @BulmaList #油亮黑丝# #镜面黑丝# #高光丝袜# #黑丝湿透# #ShinyStockings# #PantyhoseFetish# #丝袜女神# #腿部控#

🛡️ Vercel 重大安全事件爆發！幣圈開發者們，這波供應鏈攻擊值得高度警覺！（2026/4/19） 今天 Vercel 官方確認發生安全事件：一名員工使用的第三方 AI 工具 被駭，導致攻擊者透過 Google Workspace OAuth 入侵內部系統。雖然只有「有限子集」的客戶受到影響，但駭客已取得部分未標記為 sensitive 的環境變數（env variables），包括 NPM token、GitHub token 等高敏感憑證！ 更嚴重的是，ShinyHunters（曾搞出 Ticketmaster 大洩漏的那群人）已在 BreachForums 上以 200 萬美元 標價販售 Vercel 內部資料庫。Vercel 擁有 Next.js（每週下載量高達 600 萬次），一旦惡意程式碼被推上去，全球供應鏈瞬間中招！ Vercel 官方已緊急聯絡駭客、聘請 Mandiant 調查、通知執法單位，並公開 IOC（OAuth App ID）。他們也建議所有用戶： - 立即審核 Activity Logs - 旋轉所有 env variables（尤其是 API key、資料庫憑證、簽名金鑰） - 未來務必把重要 secret 標記為 “Sensitive” - 檢查最近的 Deployment，有疑慮就刪除 - 啟用 Deployment Protection（至少 Standard 等級） 🔥 幣圈重點來了！ 現在的 Web3/幣圈，已經不止要防智能合約漏洞了！ 人為疏失 + 第三方工具風險 才是真正的大魔王： 1. 人為疏失：開發者為了方便，把 Google Workspace、AI 代理工具、CI/CD 權限全部串在一起，一個 OAuth 授權就全盤皆輸。 2. Vercel 這類工具：Next.js、Vercel 已經是無數 dApp、前端專案的部署主力。一旦供應鏈被毒化，錢包合約、Bridge、前端 UI 全都可能被植入後門。 這次事件再次提醒我們：零信任（Zero Trust）不是口號，是生存法則。 - 不要再把「方便」當成安全 - 所有 secret 永遠當成已洩漏處理 - 第三方 AI 工具、OAuth App 都要嚴格審核權限 立即行動清單（推薦複製給團隊）： ✅ 檢查 Vercel、NPM、GitHub、所有 API key ✅ 啟用 sensitive env variables ✅ 審核過去 72 小時的部署紀錄 ✅ 考慮把關鍵專案遷移到自管基礎設施或更嚴格的權限控制 Vercel 這次 DM 駭客「拜託停手」的畫面真的蠻震撼的… 這不是單一事件，而是整個開發生態的警鐘！