Глава отдела информации по кибербезопасности компании Мувуй (SlowMist) передал предупреждение от команды безопасности Bitwarden: версия Bitwarden CLI 2026.4.0, которая за 1,5 часа с 5:57 до 7:30 по восточному времени в США 22 апреля через npm распространяла взломанную версию с вредоносным пакетом, была отозвана; Bitwarden официально подтвердила, что данные хранилища паролей и производственные системы не пострадали.
Подробности атаки: цель кражи вредоносной загрузки bw1.js
Вредоносная загрузка тихо запускается во время установки пакета из npm и собирает следующие типы данных:
· GitHub и npm Token
· SSH-ключи
· переменные окружения
· история команд Shell
· облачные учетные данные
· файлы зашифрованных кошельков (включая кошельки MetaMask, Phantom и Solana)
Украденные данные выгружаются на домены, контролируемые злоумышленниками, и отправляются в репозиторий GitHub с использованием механизма персистентности. Многие команды криптовалют используют Bitwarden CLI в процессах CI/CD автоматизации для внедрения ключей и развертывания; любой процесс, который запускал версию, подвергшуюся компрометации, может привести к утечке ценных ключей кошельков и API-учетных данных бирж.
Срочные шаги реагирования для затронутых пользователей
Пользователям, которые в окне с 5:57 до 7:30 по восточному времени США 22 апреля установили через npm версию 2026.4.0, необходимо выполнить следующие действия: немедленно удалить версию 2026.4.0; очистить кэш npm; выполнить ротацию всех чувствительных учетных данных, включая все API Token и SSH-ключи; проверить на аномальную активность в GitHub и в процессах CI/CD; выполнить обновление до исправленной версии 2026.4.1 (или выполнить даунгрейд до 2026.3.0, или загрузить с официального сайта Bitwarden официальные подписанные двоичные файлы).
Контекст атаки: впервые использован механизм доверенной публикации npm
Исследователь безопасности Adnan Khan указал, что эта атака — пример известного первого использования механизма доверенной публикации npm для взлома программных пакетов. Эта атака связана с активностью поставщикской цепочки атак TeamPCP: начиная с марта 2026 года TeamPCP провела аналогичные атаки против средств безопасности Trivy, платформы безопасности кода Checkmarx и инструмента ИИ LiteLLM, цель — встраивание инструментов разработчика в процессы сборки CI/CD.
Часто задаваемые вопросы
Как подтвердить, установлена ли у меня затронутая версия 2026.4.0?
Можно выполнить команду npm list -g @bitwarden/cli, чтобы проверить установленные версии. Если отображается 2026.4.0 и время установки попадает в период с 5:57 до 7:30 по восточному времени США 22 апреля, нужно немедленно предпринять меры реагирования. Даже если вы не уверены во времени установки, рекомендуется самостоятельно выполнить ротацию всех соответствующих учетных данных.
Данные хранилища паролей Bitwarden были ли раскрыты?
Нет. Bitwarden официально подтвердила, что данные хранилища паролей пользователей и производственные системы не были затронуты. Эта атака повлияла только на процесс сборки CLI; целью атаки были учетные данные разработчиков и файлы зашифрованных кошельков, а не пользовательская база данных с паролями платформы Bitwarden.
Каков более широкий контекст поставщикской цепочки атак TeamPCP?
Начиная с марта 2026 года TeamPCP запустила серию атак на инструменты разработчика; среди пострадавших целей — Trivy, Checkmarx и LiteLLM. Атака на Bitwarden CLI является частью той же серии активностей: цель — встроить инструменты разработчика в процессы сборки CI/CD, чтобы в автоматизированных конвейерах похищать ценные учетные данные.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Испанская полиция изъяла криптовалюту на €400K у нелегальной платформы пиратской манги, задержаны 3 человека
Сообщение Gate News, 24 апреля — испанская полиция в Альмерии изъяла два криптовалютных аппаратных кошелька с содержимым примерно на €400,000 во время рейда на крупнейшую в стране нелегальную платформу распространения манги. В рамках операции, которая была начата
GateNews1ч назад
OFAC санкционирует камбоджийского сенатора за участие в мошеннической сети с криптовалютами
Санкции OFAC в отношении камбоджийского сенатора за причастность к сети криптовалютного мошенничества
Офис по контролю за иностранными активами (OFAC) при Министерстве финансов США has sanctioned Cambodian senator Kok An, who is accused of controlling "scam compounds" throughout Cambodia that have defrauded Americans. OFAC designated An and 28 other
CryptoFrontier1ч назад
США вводят санкции против кхмерских высокопоставленных лиц за мошеннические «парки» стоимостью в 10 миллиардов! Tether заморозил более 344 миллионов долларов США USDT
Недавно Министерство финансов и Министерство юстиции США провели совместную операцию по борьбе с «пиг-баучингом» — мошенничеством с романтическими свиданиями и вербовкой в сфере криптовалют, которое в последние время все более нагло процветает в Юго-Восточной Азии. В официальном сообщении о санкциях власти заявили о введении ограничительных мер в отношении камбоджийского сенатора Лоанга (Kok An) и 28 физических лиц и организаций в его преступной сети, обвинив их в том, что они использовали политическое влияние и собственные казино-площадки, укрывая крупномасштабные мошеннические и торговлей людьми. По оценкам, эти мошеннические действия ежегодно приводят к потерям американских граждан до 10 млрд долларов. В рамках этой операции по пресечению деятельности компания-эмитент стейблкоинов Rether также уже заморозила более 344 млн долларов в цифровых активах, связанных с делом.
Мошенничество «романтика-пиг-баучинг»: потери американских граждан за год превысили 10 млрд долларов
В последние годы международные преступные организации, базирующиеся в Юго-Восточной Азии, в массовом порядке используют мошенническую схему под названием «пиг-баучинг» (Pig Butchering). Мошенники будут через социальные сети или мессенджеры тратить месяцы
ChainNewsAbmedia1ч назад
Солдат армии США арестован за использование засекреченной информации для ставки на задержание Мадуро на Polymarket
Сообщение Gate News, 24 апреля — Министерство юстиции США арестовало военнослужащего действующей службы армии США Гэннона Кена Ван Дайка, 38 лет, по обвинениям в использовании конфиденциальной информации для заключения ставок на Polymarket — прогностическом рынке — относительно задержания бывшего президента Венесуэлы Николаса Мадуро. Ван Дайк участвовал в
GateNews1ч назад
Криптобиржа Zondacrypto сталкивается с обвинениями в присвоении 350 миллионов долларов, генеральный директор публично отрицает
Один из крупнейших криптовалютных бирж Польши Zondacrypto. Его генеральный директор Пржемыслав Крал (Przemysław Kral) 16 апреля публично заявил в социальных сетях, что биржа не может получить доступ к кошельку, в котором хранится 4 503 биткоина; текущая стоимость превышает 350 миллионов долларов США. Крал опубликовал адрес соответствующего кошелька, чтобы опровергнуть обвинения в присвоении, но данное раскрытие сразу же вызвало массовые выводы средств.
MarketWhisper4ч назад
