黑客入侵雲端平台Vercel盜走金鑰NPM令牌 1560萬元暗網放售 ShinyHunters曾偷歐盟機密

By thomas.chan on 20 Apr 2026

Digital Editor

熱愛新聞工作，充滿好奇心。從投資分析、慳家攻略到AI應用都有濃厚興趣。期望藉著多年以來的工作經驗，為BF這嶄新的財經新聞頻道上出一分力。

史上最可怕黑客組織「ShinyHunters」，或令全球大量網站淪陷？雲端托管平台服務商「Vercel」的內部系統近日遭ShinyHunters入侵，導致內部極機密資料庫及訪問金鑰、員工帳號（含內部部署權限）、API 金鑰、NPM 令牌、GitHub 令牌等大量洩漏，黑客現時把上述機密以200萬美元（約1560萬港元）「打包」在暗網出售，聲稱可用於全球供應鏈攻擊。有專家關注，使用Vercel極受歡迎的Next.js框架的數以百萬計網站，有機會因此被入侵變成釣魚網站，令全球網民私隱或遭盜用。事件帶出歐美對疑由高智商年輕人創立的ShinyHunters束手無策，連歐盟資料庫早前也已被入侵。

在現代網頁開發的版圖中，Vercel 不僅僅是一家雲端託管公司，它是數百萬前端工程師的「朝聖地」，更是支撐全球互聯網運行的隱形骨幹。然而，這根骨幹近日正經歷一場驚心動魄的震盪。近日，臭名昭著的黑客組織 ShinyHunters 宣稱已成功滲透 Vercel 內部系統，並在暗網論壇以200 萬美元（約1560 萬港元）的天價，公開出售其竊取的機密數據。這場危機最令市場恐懼的，並非數據庫洩漏本身，而是黑客手中掌握的「核武級」武器：Vercel金鑰、NPM 令牌（NPM Tokens）與 GitHub 令牌。

一旦這些令牌一旦被濫用，全球每週下載量高達 600 萬次的 Next.js 框架可能淪為黑客注入惡意程式碼的「特洛伊木馬」，引發一場前所未有的全球性供應鏈災難！

根據目前的調查顯示，這場足以載入網絡安全史冊的入侵事件，起因並非 Vercel 自身的防禦堡壘出現正面裂縫，而是源於一個極其細微的破綻：一個第三方 AI 工具的 Google 帳號遭到入侵。黑客以此為跳板，成功滲透進一名 Vercel 員工的個人帳號，進而獲取了公司的內部部署權限。據 ShinyHunters 釋出的截圖顯示，他們已進入 Vercel 的內部管理系統（如 Linear）及用戶數據庫。

Vercel 官方雖然迅速回應稱，服務運行正常且僅有「部分客戶」受影響，但黑客聲稱掌握的「戰利品」清單足以讓任何 CTO 徹夜難眠：原始代碼、API 金鑰、員工內部權限，以及最關鍵的開發者生態令牌。

對於非技術投資者而言，這是一場關於「信任連鎖反應」的危機。Vercel 是目前全球最熱門前端框架 Next.js 的維護者，下載數數以百萬計算，無數機構或公司包括銀行、電商平台及企業官網都建立在 Next.js 之上。如果黑客利用竊得的 NPM 令牌，在 Next.js 的更新包中植入後門，那麼全球數百萬個網站將在不知情的情況下，「自動」下載並執行這些惡意代碼。這就是所謂的「供應鏈攻擊」：黑客不再一個個去攻破企業，而是直接在水源頭投毒。

儘管 Vercel 已緊急敦促用戶「輪換金鑰（Rotate Keys）」，但在數字化程度極高的今天，清理這種潛在威脅的工作量無異於在茫茫大海中尋找一根被污染的針。

但「ShinyHunters」這群黑客是何方神聖？這並非 ShinyHunters 第一次讓全球科技巨頭蒙羞。這個背景神秘的組織，其成員被懷疑極為年輕，甚至是精通網絡攻防的青少年，但他們的「戰績」卻令資深安全專家感到膽寒。

思科（Cisco）與歐盟：今年 3 至 4 月，ShinyHunters先後宣稱攻陷網絡設備龍頭思科，盜取 300 萬筆紀錄；隨後更入侵歐盟 AWS 系統，竊取超過 350 GB 的機密文件與合約。
GTA 6 的陰霾：最令玩家震驚的是，他們近期利用雲端監控工具 Anodot 作為跳板，滲透了《俠盜獵車手 6》（GTA 6）開發商 Rockstar Games 的 Snowflake 環境。雖然開發商堅稱影響有限，但市場普遍擔憂，這場網絡攻擊可能導致這款「全球期待值最高」的遊戲再次面臨延期。

ShinyHunters 的戰略極具針對性：專攻第三方供應鏈工具。他們明白，巨頭的正面防禦固然堅固，但其依賴的小型雲端工具或第三方 AI 平台，往往是防守最薄弱的環節。針對 Vercel 事件，安全專家給出了最直接的應對建議。如果您或您的企業正在使用 Vercel 或 Next.js，請務必執行以下「安全大掃除」：