Yonatan Arbel

Hey Guillermo, Yonatan from JFrog here. Happy to chat and share how teams are gating dependencies and controlling what actually gets into environments like Vercel. From experience, sleeping better starts when not every package is allowed to just walk in. Happy to show you how we approach it.

I want to keep everyone updated on the details of the security investigation. The team performed an in-depth analysis to search for root causes and to better understand the behavior of the threat actor. We cast a very wide net, pulling and processing nearly a petabyte of logs of the entire Vercel Network and API, extending well beyond the initial Context[.]ai compromise. We now understand that the threat actor has been active beyond that startup's compromise. Threat intel points to the distribution of malware to computers in search of valuable tokens like keys to Vercel accounts and other providers. Once the attacker gets ahold of those keys, our logs show a repeated pattern: rapid and comprehensive API usage, with a focus on enumeration of non-sensitive environment variables. As a result: ◾We've deepened and widened our collaboration with partners across the industry, like Microsoft, AWS and Wiz, to further protect the broader internet. ◾ We've notified other suspected victims of this threat actor, independent of this event, encouraging them to rotate credentials and adopt best practices. We've also shipped a bunch more product enhancements. I'm extremely thankful to our team and industry partners for working around the clock. For more details on the ongoing investigation, refer to our security bulletin: vercel.com/kb/bulletin/ve…

@gilileoB היה צריך להגיד לו ״חכה חכה אח״כ אני אקרע אותך״ ואז הם ילכו לאכול משהו, ואז רק שיזכיר לו שהוא מסיים לאכול והוא ״קורע אותו״ - בסוף זה היה יכול להגמר יפה

אתם מבינים למה קשה לי עם מרדכי דוד? לחסום מישהו רק כי לכלך עליו בטוויטר? ככה באלימות וצעקות? חולה על עידן אלתרמן. איש יקר מאוד. מותר לא להסכים ועדיין להעריך

@FeedTechILUncen יש מילואימניקים שכבר מעל חודש נמצאים בלבנון בשטח ולא עשו את החג עם המשפחה - אתה נשמע כמו אויי יוו יוייי אחד גדול. אני חושב שאתה המנותק/המפונק - תקרא לזה איך שבא לך. איפפ סליחה על ה״טרחנות״ שלי, אבל נהיינו דור של יבבנים רכים ומפונקים

שלחו לנו מייל מהעבודה שהמשרדים יהיו פתוחים מחר ומצפים מאיתנו לחזור למשרד (מי שיכול). באמת? דחוף לכם שנחזור למשרד בחמישי אחרי חג ואחרי מלחמה? זה באמת לא יכול לחכות לשבוע הבא? מנותקים

🚨 CERT-EU Confirms Trivy Supply Chain Attack Led to European Commission AWS Breach The European Commission got breached not because of bad code… but because a trusted tool was compromised Trivy 😫 Attackers used it inside CI/CD to steal AWS keys 340GB data leaked 70+ entities affected bottom line: It’s not about finding vulnerabilities anymore It’s about controlling what gets into your org. If you still pull directly from public sources you’re just hoping.

@ReemSherman אני חושב שכל חברות הסייבר מרוויחות מזה, אנחנו רואים איך הווקטור הזה צובר עוד ועוד תאוצה וכמה חשוב להיות מוגן בכמה שכבות, אני אמנם מג׳ייפרוג (״משוחד״ 😆) אבל התאוששות המנייה מאז ההכרזה ״הדרמטית״ של קלוד יכולה להעיד שהשוק מבין. אבל גם חברות כמו סניק, אוקס וכו׳ - כולן רלוונטיות.

איזו חברת סייבר הרוויחה מהפריצה המגניבה הזה בחבילת Axios? כוונתי היא, אנשי המכירות/יזמים של איזה חברות ישתמשו במקרה הזה כדוגמא ללמה צריך אותם בסטאק האבטחה של הלקוח?

@PnL63962200 אני זוכר את הפעם הראשונה שהסברתי לאייל על מבנה בסיסי של HTML על חוקי התגיות וההבדל בין position:absolute לפוזישן רלטיב… מדהים לראות איזו דרך הוא עשה מאז! אגב, כל מה שסיפרתי פה למעלה אמת, חוץ מהחלק על איל ואיך שלימדתי אותו HTML

200 מיליון דולר בשביל css 😭 אני מחליף מקצוע אני הולך להיות מקליד פרונטאנד

@Sohrab_Salar @jacksonhinklle Ahalan wa saalan ya zarlul

@Yonar87 @jacksonhinklle Shalom

This man was a hero

Funny how this aged… swampUP 2024: "axios — is it secure?" Fast forward to today 😅 CFP for @jfrog swampUP 2026 is open: sessionize.com/swampup-2026

@ptrcknlsn @wesbos @jfrog It was flagged 10 minutes after it was released, but the real power comes from our immaturity policy, which blocks any package younger than 3 days (you can set any threshold you want). So we can confidently say we didn’t have even a single second of exposure.

@Yonar87 @wesbos @jfrog Nice. How quickly was this flagged in your system? I believe this exploit was live for ~3 hours before it was caught and taken down.

“It’s the year of the supply chain. You guys are going to be busy a very long time…” - TeamPCP Good luck everyone 😬 We’ve built @jfrog Curation exactly for days like this.

@cramforce @jfrog

@cramforce Hey @cramforce , Yonatan from @jfrog here. This is exactly the kind of scenario we had in mind when we built JFrog Curation+Compliant Version Selection (CVS). Instead of forcing teams to stop everything, it blocks risky versions and automatically gives you the highest safe one.

This *may* the right choice for you *but* you have to be aware of the trade-off that it also means that you get security *fixes* 7 days later. This is not an unfixable trade-off with the right tooling, but it is where we are today

@cramforce @jfrog For example, you can easily set a policy where any package version younger than 14 days won’t be downloaded. Instead, the highest version that complies with your organization’s policy will be resolved. Zero friction

@PulseMuse @boazbe כן, אתה מוגן לחלוטין. כל חבילה שאתה מוריד נבדקת, גם חבילות טרנזיטיביות עוברות דרך הבדיקה אל מול הפוליסי הארגוני

@Yonar87 @boazbe אתם מצילים אותי מלהשתמש בגירסה 1.14.1 אבל אתם מגנים עלי מתתי (ותתי תתי) ספריות שאני משתמש, שכן משתמשות בגירסה הזו?

ההצעה הזאת, של לא לאמץ גרסאות חדשות במשך 7 ימים מינימום היא הצעה מדהימה: * סוגרת הרמטית את עניין הסיכון של supply chain attack בהיבט של נוזקה חדשה ששוחררה. * חושפת לחלוטין את הצרכן לone-day שתוקן בגרסא שיצאה, ומקנה לכל תוקף שבוע שלם לדפוק ב*** את הטמבל שהגדיר את זה. 😇😇😇

@Sohrab_Salar @jacksonhinklle said Ahmad-Sohrab from: Germany... 🤣

ראיתי את מה שכתב פארס מנכ״ל סוקט, והאמת? זה רעיון נחמד בתיאוריה, אבל בפועל? לא מחזיק מים. לסמוך על חינוך מפתחים שינעלו גרסאות וימתינו שבוע זה 'מתכון בטוח' לבילדים שבורים כל שני וחמישי. במציאות, אי אפשר לבנות אבטחה על משמעת אנושית בתוך תהליך פיתוח מהיר. הפתרון חייב להיות תשתיתי. אנחנו למשל משתמשים ב-Curation יחד עם Compliant Version Selection (מוצר שלנו שמשרת אותנו): המערכת חוסמת אוטומטית כל חבילה 'צעירה' מ-14 יום, ומגישה למפתח באופן שקוף את הגרסה הגבוהה ביותר שעומדת בפוליסי הארגוני. אבל רגע! מה אם יש תיקון אבטחה קריטי? אז המערכת יודעת לסווג אותו ולאפשר חריגה מהירה. עם כל הכבוד לחבר׳ה מ Socket לייצר מעקפים, לתת הצעות שמכבידות על הפיתוח רק כי המערכת לא תומכת בפתרון אוטומטי, זה מייצר יותר רעש מערך. אני אולי משוחד, אבל הניסיון הזה נכתב בדם (ובעיקר בדמעות של CISO ב-2 בלילה).

@shakedko @davybaum אני לא יודע מה אני לא יודע, וזה מה שמפחיד אותי. אנחנו נחשפים בשבוע האחרון חדשות לבקרים לחבילות מאוד פופלריות שנפרצות ויוצרות שרשרת הדבקה. הדרך היחידה כרגע היא להקפיא עדכונים לא קריטיים, כל חבילה עם גרסה צעירה מ 14 יום, לא להכניס לארגון, ולהשתמש במנגנון Compliant Version Selection

@Yonar87 @davybaum ספר לי מה אתה יודע 🫣

אין רגע דל. בהתחלה חשבתי שזו בדיחה, אולי אפילו ה-1 באפריל כמו שאח שלי זרק, אבל נראה שהקוד של קלוד קוד אכן נחשף?

@TheSharkLady אנחנו משתמשים במוצר שלנו להגן על עצמנו בעזרת Catalog ו Curation בג׳ייפרוג עם כל הכבוד לפתרון של סוקט ולהמלצה של המייסד, זה לא מחזיק מים לעצור את כל הפיתוח ולבקש מכל מפתח לעשות pin לגרסאות ולוודא. זה צריך להיות שקוף, מוגן ברמה הארגונים, ולא לסמוך שג׳ינג׳י זכר לנעול את המחסן

3. מקצוענים שרוצים פירוט טכני - אפשר לקרוא כאן. שתי גירסאות נגועות שידוע עליהן כרגע (זה אירוע מתפתח, אולי יש עוד): axios@0.30.4 axios@1.14.1 ההמלצה היא לבדוק איזו גירסה יש לכם ולא לשדרג עד שהעסק מטופל. socket.dev/blog/axios-npm…

🚨 אנחנו עסוקים בטילים ואזעקות, אבל בגזרת הסייבר יש גם אירוע מתגלגל, שיכול להיות שמשפיע גם עליכם - אנשים שמשתמשים בקלוד קוד או כל וייב קודינג ללא ידע טכנולוגי. 1. אחת מספריות הקוד הכי פופולריות בעולם - Axios - שמשמשת כמעט כל אתר או אפליקציה כדי "לדבר" עם האינטרנט, נפרצה.

@shakedko @davybaum לא נגמר? רק התחיל.. רב הנסתר על הגלוי

@davybaum יאפ. אגב, טריווי עוד לא נגמר לדעתי

@boazbe יש ללקוח את הפלקסיביליות המלאה להחליט איזה פוליסות הוא רוצה, סוג רשיון, CVSS SCORE RANGE לייבל שהוא שם בעצמו על חבילות וכו׳ - יש גמישות מלאה

@Yonar87 איך זה עובד לא הבנתי, אתם מנתחים שינויי קוד ואז מחליטים איזה גרסאות מקבלות סטמפה כדי להגיע ללקוחות?