文章总结： Vercel于2026年4月19日确认内部系统遭未授权访问，同日冒名ShinyHunters组织在诈骗论坛breachforums[.]ai发帖叫卖Vercel访问密钥与源代码。分析显示冒名者使用拼写错误账号、阿拉伯语图床等低级手段，与真组织战术不符。建议Vercel用户立即轮换环境变量、API密钥及部署令牌，尤其关注NPM与GitHub令牌。 综合评分： 85 文章分类： 漏洞预警,安全大事件,威胁情报,应急响应,数据安全

Vercel 居然被假 shinyhunter唬住了！？:-)

原创

独眼情报 独眼情报

独眼情报

2026年4月20日 01:35 湖北

在小说阅读器读本章

去阅读

长话短说

2026 年 4 月 19 日，Vercel 发布一份极其简短的官方安全通告，确认「部分内部系统」遭未授权访问，影响有限客户；同日凌晨（论坛时间 02:02），一个署名「ShinyHunters」、带 [Admin] 标签的账号在 breachforums[.]ai 发帖叫卖「Vercel 访问密钥 / 源代码 / 数据库」、一份用户数据表字段清单，开价 200 万美元、50 万美元比特币起。发帖者还在骚扰 Vercel 员工邮箱，Vercel 则通过聊天账号 VercelCloud 主动接触，对话中出现价格锚定的来回拉扯。

Vercel 主动联系对方并把沟通引流到集中对话渠道，是事件响应教科书级别的早期动作。员工邮箱被骚扰时，IR 团队必须出面把骚扰集中化，这是保护员工、也是为取证争取时间。发帖者自己在对话里露了馅，价格滑动、没有一口价能力、用阿拉伯语图床承载证据、XMPP 账号是真 ShinyHunters 领袖 Telegram 别名的 恶意抢注——这些不是掌握「史上最大供应链攻击」筹码的组织该有的段位。

核心研判：breachforums[.]ai 上署名 ShinyHunters 的卖家，几乎可以判定为冒名顶替者，而不是真正的 ShinyHunters / ShinyCorp 组织——高置信度。

依据构成一个相互加强的证据簇：

真邮箱

假

假

假

• 账号命名的 typosquat 指纹：真 ShinyHunters 领袖在 Telegram 的已知别名是 shinyc0rp（已被封），帖子给出的 XMPP 与 Telegram 账号是 shinyc0rpsss——真账号尾部叠三个 s 的典型冒名命名；邮箱 [email protected] 更刻意，是把领袖名和一个下线成员名 Sevy 缝合起来。

• 论坛本身已被行业钉为诈骗论坛：SpyCloud Labs 4 月 10 日月报明确研判 breachforums[.]ai 是骗局镜像；真 ShinyHunters 3 月 26 日 DLS 声明已公开宣布自 2025 年 10 月 FBI 查扣之后所有 BreachForums 镜像全部 fake，并威胁泄露完整备份打掉这些仿冒站。真组织不会在自己公开宣布为 fake、准备爆掉的论坛上以自己的 [Admin] 标签做生意。

• TTP 与当前剧本完全不符：真 ShinyHunters / SLSH 的 2026 年剧本是 Telegram + 自建 DLS + 骚扰高管家属 + 向记者放风（Krebs、Unit 221B 详细记录），不是去 BreachForums 挂帖公开叫卖源代码；真ShinyHunters组织泄露站显示没有 Vercel。

• 运营素质过低：证据图使用阿拉伯语图床 top4top.io（曾被 Malwarebytes 标记被滥用于恶意软件承载）；帖子文风是推销话术而非技术通告；与 Vercel 直接对话中的议价节奏是弱势方逆向加码，而不是掌握 leverage 的组织的定价。

• 品牌寄生的时间窗口：4 月初 ISMG 已报道过一次完整的冒名演练——某「X」在另一个 BreachForums 镜像借 ShinyHunters 品牌重启论坛、挂上真组织历史受害者清单制造规模感，被真组织当日否认。这次 Vercel 版本是同一个脚本的第二次上演。

但需要单独说明的是：这不等于 Vercel 没被入侵。Vercel 4 月 19 日的官方公告是独立 P0 事实；Vercel 主动联系叫卖者的对话反向证实内部确有情况；Theo（t3.gg）在 X 上的圈内口径指向 Linear 和 GitHub 是主要被命中的内部系统。研判：真正的入侵可能真的发生过，但把入侵产物拿到 BreachForums 挂牌的这个人，大概率是从中间环节顺手拿到一部分素材的二道贩子 / 冒名者，而不是原始入侵者。中等偏高置信度。

给下游 Vercel 使用方的行动含义不变：按 Vercel 官方建议和 Theo 的第三方提示，轮换所有未标记 sensitive 的环境变量、API 密钥、部署 token——尤其是 NPM token 和 GitHub token，因为帖子里明确列出了这两类作为出售资产，无论叫卖者是否真的持有，这都在 Vercel 承认的可能受影响范围内。

事件骨架：官方六句话 + 一个论坛帖 + 两段勒索对话

Vercel 官方口径

Vercel 4 月 19 日在 Knowledge Base 发布的安全公告信息密度极低但要素齐全：承认「未授权访问某些内部 Vercel 系统」；确认「已识别有限范围的受影响客户并正在直接沟通」；声明「已通知执法机构」、「已聘请事件响应专家」；建议所有客户「检查环境变量并利用 sensitive environment variable 功能」。

这份公告没有说的东西，正是值得分析的东西：没说入侵窗口期、没说入侵向量、没说是否涉及源代码仓库、没说是否涉及客户部署构建产物、没给受影响客户的量级区间、没说数据是否被外传。

研判：公告采取了「低暴露、高谨慎」的典型披露策略——但单独推荐 sensitive environment variable 功能这一条暗示得相当强，环境变量外泄可能已发生或高度疑似，否则没必要单独拎这一条。中等置信度；需要 Vercel 事后 PIR 验证。

BreachForums 上的认领帖

帖子发布于 breachforums[.]ai，标题 VERIFIED - Vercel Database Access Key & Source Code -19 Apr 2026，作者账号 ShinyHunters（带 [Admin] 标签、2023 年 5 月注册、发帖 48、主题 42、声望 1905）。正文要点：

• 自称出售来自 Vercel 的「Access Key / Source Code / Database」
• 声称已验证可用于全球供应链攻击的访问密钥
• 附一张承载在 f.top4top.io 的截图作为 Linear 佐证
• 声称将要出售的访问不只是 Linear，还包含「多个员工账户对多个内部部署的访问、API 密钥（含 NPM tokens 和 GitHub tokens）」
• 列出一张号称来自 Vercel 内部用户系统的字段清单：id、name、displayName、email、active、admin、guest、timezone、createdAt、updatedAt、lastSeen
• 强调「Vercel 拥有 Next.js、Turbo.js 和整个 @vercel 生态」、「Next.js 每周 600 万下载」等放大叙事
• 开价 2M USD
• 联系方式：XMPP [email protected]、Telegram @shinyc0rpsss、邮箱 [email protected]
• 明示「需要 middleman」

Vercel 与发帖者的两段直接对话

从用户提供的截图可见：

第一段（开场）：Vercel 一方（聊天账号 VercelCloud）主动发起联系，说「Hi we are from Vercel / We received your emails / Can you please stop contacting our employees? We are here to talk to you」，发帖者接受消息请求后仅回了一个「Hello」。

第二段（议价）：Vercel 方问「Is your demand 500k USD?」，发帖者回复「We thought your demand was 」，随即补救为「2M, starting from 500k USD BTC payments」。

这段对话提供了几个关键事实，也顺便埋了几个值得看的细节：

• Vercel 内部确实收到了来自这个身份的员工邮箱骚扰
• Vercel 采取的应对是标准教科书式的早期动作：主动接触，把骚扰集中化、从多个员工邮箱引流到单一对话通道——这是保护员工 + 为取证赢时间的常规操作
• 发帖者接受了引流
• 报价存在不一致：公开帖是 2M USD 整，与 Vercel 对话中先出现 500k USD 的数字，被发帖者补救为「2M 目标，50 万 BTC 起付」
• Vercel 一方的聊天账号显示为 VercelCloud

总结一段话：我认为问题不大。🐶不过该做的预防措施还是得做。

常在河边走，小号防丢失，可以加下好友。我的 1 万好友目标什么时候才能达成啊，总是忘记。🐶

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 独眼情报 独眼情报《Vercel 居然被假 shinyhunter唬住了！？:-)》