關鍵詞

入侵

攻擊者將一個含有竊取憑證有效載荷的惡意 @bitwarden/cli 包上傳至 npm，致使 Bitwarden CLI 在短時間內遭入侵，且該惡意有效載荷具備傳播至其他項目的能力。

據(jù) Socket、JFrog 和 OX Security 報告，這個惡意包以 2026.4.0 版本發(fā)布，于美國東部時間 2026 年 4 月 22 日下午 5 點 57 分至 7 點 30 分期間存在，隨后被移除。

Bitwarden 證實了這一事件，并表示此次入侵僅影響其 CLI npm 包在 npm 上的分發(fā)渠道，且只有下載了惡意版本的用戶受到影響。

Bitwarden 在一份聲明中表示：“調查未發(fā)現(xiàn)終端用戶保險庫數(shù)據(jù)被訪問或面臨風險的證據(jù)，也未發(fā)現(xiàn)生產數(shù)據(jù)或生產系統(tǒng)遭入侵的情況。問題一經(jīng)發(fā)現(xiàn)，我們立即撤銷了受入侵的訪問權限，棄用了惡意的 npm 版本，并即刻啟動修復措施。該問題僅在有限時間內影響了 CLI 在 npm 上的分發(fā)機制，并未影響合法的 Bitwarden CLI 代碼庫完整性或存儲的保險庫數(shù)據(jù)�！�

Bitwarden 稱已撤銷受入侵的訪問權限，并棄用了受影響的 CLI npm 版本。

Bitwarden 供應鏈攻擊詳情

據(jù) Socket 分析，威脅行為者似乎利用了 Bitwarden 持續(xù)集成 / 持續(xù)交付（CI/CD）管道中被入侵的 GitHub Action，將惡意代碼注入到 CLI npm 包中。

JFrog 指出，該 npm 包被修改，使得預安裝腳本和 CLI 入口點使用了一個名為 bw_setup.js 的自定義加載器。此加載器會檢查 Bun 運行時環(huán)境是否存在，若不存在則進行下載。

隨后，加載器利用 Bun 運行時啟動一個經(jīng)過混淆的 JavaScript 文件 bw1.js，該文件實則為竊取憑證的惡意軟件。

惡意軟件一旦執(zhí)行，便會從受感染系統(tǒng)中收集各類機密信息，包括 npm 令牌、GitHub 身份驗證令牌、SSH 密鑰，以及亞馬遜網(wǎng)絡服務（AWS）、微軟 Azure 和谷歌云的云憑證。

惡意軟件使用 AES - 256 - GCM 對收集到的數(shù)據(jù)進行加密，并通過在受害者賬戶下創(chuàng)建公開的 GitHub 倉庫來滲出數(shù)據(jù)，加密后的數(shù)據(jù)就存儲在這些倉庫中。

OX Security 表示，這些新建倉庫包含字符串 “Shai - Hulud: The Third Coming”，這與此前 npm 供應鏈攻擊滲出被盜數(shù)據(jù)時采用的類似方法和文本字符串相關。

該惡意軟件還具備自我傳播能力。OX Security 報告稱，它可利用竊取的 npm 憑證，識別受害者能夠修改的包，并向其中注入惡意代碼。

Socket 還觀察到，該有效載荷針對 CI/CD 環(huán)境，試圖獲取可重復使用以擴大攻擊范圍的機密信息。

此次攻擊發(fā)生前一天，Checkmarx 披露了另一起供應鏈事件，涉及其 KICS Docker 鏡像、GitHub Actions 和開發(fā)者擴展。

雖然尚不清楚攻擊者的確切入侵方式，但 Bitwarden 告訴 BleepingComputer，此次事件與 Checkmarx 供應鏈攻擊相關，受入侵的 Checkmarx 相關開發(fā)工具使得攻擊者在有限時間內能夠濫用 CLI 的 npm 交付路徑。

Socket 向 BleepingComputer 透露，Checkmarx 入侵事件與此次攻擊存在重疊的指標。

Socket 告訴 BleepingComputer：“這種關聯(lián)體現(xiàn)在惡意軟件和基礎設施層面。在 Bitwarden 事件中，惡意有效載荷使用了與 Checkmarx 事件中相同的 audit.checkmarx [.] cx/v1/telemetry 端點。它還使用了相同的帶有種子 0x3039 的__decodeScrambled 混淆例程，并呈現(xiàn)出相同的竊取憑證、基于 GitHub 滲出數(shù)據(jù)以及供應鏈傳播行為的總體模式。這種重疊并非表面相似，Bitwarden 有效載荷包含與我們在早期惡意軟件中看到的相同類型的嵌入式 gzip + base64 組件，包括用于憑證收集和下游濫用的工具�！�

這兩次攻擊活動均與名為 TeamPCP 的威脅行為者有關，該組織此前在大規(guī)模的 Trivy 和 LiteLLM 供應鏈攻擊中，也曾針對開發(fā)者包發(fā)動攻擊。

安裝了受影響版本的開發(fā)者應將其系統(tǒng)和憑證視為已遭入侵，并輪換所有暴露的憑證，尤其是用于 CI/CD 管道、云存儲和開發(fā)者環(huán)境的憑證。

安全圈

網(wǎng)羅圈內熱點 專注網(wǎng)絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！