ข่าว Gate, 24 เมษายน — ตามรายงานของ SlowMist CISO 23pds พบว่า Bitwarden CLI เวอร์ชัน 2026.4.0 ถูกบุกรุกผ่านการโจมตีห่วงโซ่อุปทาน ระหว่างเวลา 17:57 ถึง 19:30 น. ET ของวันที่ 24 เมษายน ผู้โจมตีได้ใช้ประโยชน์จาก GitHub Actions ในไปป์ไลน์ CI/CD ของ Bitwarden เพื่อแทรกแพ็กเกจที่เป็นอันตราย ซึ่งถูกแจกจ่ายชั่วคราวผ่าน npm.

การโจมตีนั้นมุ่งเป้าไปที่เวิร์กโฟลว์การอินทิเกรชันอย่างต่อเนื่องของรีโพซิทอรี ทำให้โค้ดที่ไม่ได้รับอนุญาตสามารถเข้าถึงรีจิสทรีของแพ็กเกจได้ อย่างไรก็ตาม Bitwarden ยืนยันว่าข้อมูล Vault ไม่ถูกบุกรุก ระบบการผลิตไม่ได้รับผลกระทบ และมีเพียงผู้ใช้ที่ติดตั้งเวอร์ชัน 2026.4.0 จาก npm ในช่วงเวลา 1.5 ชั่วโมงเท่านั้นที่ได้รับผลกระทบ.

Bitwarden แนะนำให้ผู้ใช้ที่ได้รับผลกระทบถอนการติดตั้งเวอร์ชัน 2026.4.0 ทันที ล้างแคชของ npm หมุนเวียนโทเค็น API และคีย์ SSH ตรวจสอบกิจกรรมของ GitHub และ CI เพื่อหาความผิดปกติ และอัปเกรดเป็นเวอร์ชันที่แก้ไขแล้ว 2026.4.1.

news.article.disclaimer

news.related.news

04-23 20:42

การรั่วไหลด้านความปลอดภัยของ Vercel ขยายวงสู่ผู้ใช้หลายร้อยคน; นักพัฒนา AI เสี่ยงสูงขึ้น

04-23 14:41

OpenClaw 2026.4.22 รวมวงจรชีวิตของปลั๊กอินเข้ากับ Codex และ Pi Harness ลดเวลาในการโหลดปลั๊กอินได้สูงสุด 90%

04-23 13:42

Lido เสนอเงินช่วยเหลือ 5.8 ล้านดอลลาร์ เพื่อแก้ไขส่วนขาด rsETH จากการเอ็กซ์พลอยต์ของ LayerZero

04-23 11:58

Ledger CTO: การย้ายข้อมูลการเข้ารหัสหลังยุคควอนตัมเข้าสู่ระยะวิกฤต บล็อกเชนเอนเอียงไปที่ลายเซ็นแบบอิงแฮช

04-23 00:31

Tencent Cloud เตือนถึงช่องโหว่การโจมตีแบบวางยาห่วงโซ่อุปทานในโปรเจกต์ Xinference