Зиянкестер Bitwarden құпиясөз менеджерінің CLI нұсқасы 2026,4,0-ді бұзылған GitHub Action арқылы басып алып, крипто әмиян мәліметтері мен әзірлеуші деректерін ұрлайтын зиянды npm пакетін жариялады.
Socket киберқауіпсіздік фирмасы бұл оқиғаны 23 сәуірде анықтап, оны TeamPCP жүргізіп жатқан жеткізу тізбегіне жасалған шабуыл науқанымен байланыстырды. Зиянды npm нұсқасы қазір жойылды.
Зиянды бағдарлама крипто әмияндарға мен CI/CD құпияларына қауіп төндіреді
bw1.js деп аталатын файлға ендірілген зиянды жүктеме пакетті орнату кезінде орындалып, GitHub пен npm токендерін, SSH кілттерін, орта айнымалыларын, командалық жол тарихын және бұлттық деректерді жинады.
TeamPCP науқаны крипто әмиян деректерін, соның ішінде MetaMask, Phantom және Solana әмиян файлдарын нысанаға алғаны бөлек расталды.
JFrog мәліметінше, ұрланған деректер шабуылдаушылар бақылауындағы домендерге жіберіліп, тұрақтылық механизмі ретінде GitHub репозиторийлеріне қайта берілді.
Көптеген крипто командалар құпияларды енгізу мен деплоймент үшін Bitwarden CLI-ды автоматтандырылған CI/CD жүйесінде пайдаланады. Компрометацияланған нұсқаны қолданған кез келген жұмыс ағыны жоғары құнды әмиян кілттері мен биржа API деректерін ашық тастауы ықтимал.
Қауіпсіздік зерттеушісі Аднан Хан npm-ның сенімді жариялау механизмін қолданатын пакетті бұзу фактісі алғаш тіркеліп отырғанын атап өтті, себебі ол ұзақмерзімді токендерді болдырмау үшін жасалған еді.
Зардап шеккен пайдаланушылар не істеуі керек
Socket ұсынады, @bitwarden/cli 2026,4,0 нұсқасын орнатқан кез келген адам барлық ашыққа шыққан құпияларды дереу ауыстыруы тиіс.
Пайдаланушылар 2026,3,0 нұсқасына түсіріп, не болмаса Bitwarden сайтының ресми қолтаңбаланған бинарь нұсқасын орнатуы керек.
Наурыз 2026 жылдан бастап TeamPCP Trivy, Checkmarx және LiteLLM-ға ұқсас шабуылдар жасап, құрастыру жүйелерінің тереңінде орналасқан әзірлеуші құралдарды нысандап келеді.
Bitwarden-нің негізгі сейфіне ешқандай қауіп төнген жоқ. Тек CLI құрастыру процесі компрометацияға ұшырады.
