Message des Nouvelles Gate, 24 avril — La version 2026.4.0 de Bitwarden CLI a été compromise dans une attaque par chaîne d’approvisionnement entre 17:57 et 19:30 (ET) le 24 avril, selon le CISO de SlowMist, 23pds. Les attaquants ont exploité les GitHub Actions dans le pipeline CI/CD de Bitwarden pour injecter un paquet malveillant qui a été brièvement distribué via npm.
L’attaque a ciblé le workflow d’intégration continue du dépôt, permettant du code non autorisé d’atteindre le registre de paquets. Toutefois, Bitwarden a confirmé que les données du coffre (Vault) n’ont pas été compromises, que les systèmes de production n’ont pas été affectés et que seuls les utilisateurs ayant installé la version 2026.4.0 depuis npm pendant la fenêtre de 1,5 heure ont été touchés.
Bitwarden a conseillé aux utilisateurs concernés de désinstaller immédiatement la version 2026.4.0, d’effacer le cache npm, de faire pivoter (rotater) les jetons API et les clés SSH, d’auditer l’activité GitHub et CI pour détecter toute anomalie, et de passer à la version corrigée 2026.4.1.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
La bourse Zondacrypto fait l’objet d’accusations de détournement de 350 millions de dollars, le PDG nie publiquement
L’un des plus grands échanges de crypto-monnaies de Pologne, Zondacrypto, a fait une déclaration publique le 16 avril sur les réseaux sociaux par son PDG, Przemysław Kral, indiquant que la plateforme ne parvenait pas à accéder à un portefeuille contenant 4 503 bitcoins, d’une valeur actuelle de plus de 350 millions de dollars. Kral a publié l’adresse du portefeuille en question afin de réfuter les accusations de détournement, mais cette divulgation a immédiatement déclenché un large retrait.
MarketWhisperIl y a 22m
Exposition d’un paquet npm malveillant via l’interface de ligne de commande Bitwarden, des risques de vol pèsent sur les portefeuilles chiffrés
Le PDG/Chief Information Security Officer de Moomoo a transmis un avertissement de l’équipe de sécurité de Bitwarden. Le 22 avril, dans une période de 1,5 heure entre 17:57 et 19:30 (heure de l’Est des États-Unis), la version 2026.4.0 de Bitwarden CLI a fait l’objet de la révocation des versions npm modifiées, lesquelles avaient publié des paquets malveillants via npm. Bitwarden a confirmé officiellement que les données du coffre-fort de mots de passe et les systèmes de production n’ont pas été affectés.
MarketWhisperIl y a 27m
JPMorgan : le bug de KelpDAO efface 20 milliards de dollars de TVL DeFi, l’attrait pour les institutions en pâtit
L’équipe de recherche de JPMorgan, menée par l’analyste Nikolaos Panigirtzoglou, a publié le 23 avril un rapport indiquant que des failles de sécurité persistantes et la stagnation de la valeur totale verrouillée (TVL) affaiblissent l’attrait de la finance décentralisée (DeFi) auprès des investisseurs institutionnels. Le rapport souligne que la faille de KelpDAO a effacé environ 200 milliards de dollars de TVL DeFi en quelques jours, mettant en évidence des risques structurels.
MarketWhisperIl y a 31m
Alerte de brouillard : des pirates nord-coréens recrutent par tromperie des développeurs Web3, et volent 12 millions de dollars en 3 mois
Le mécanisme de sécurité SlowMist publie une alerte d’urgence : l’organisation nord-coréenne Lazarus, via sa sous-organisation HexagonalRodent, lance des attaques contre des développeurs Web3. En utilisant des moyens d’ingénierie sociale tels que des postes à distance bien rémunérés, elle incite les développeurs à exécuter du code d’évaluation de compétences incluant des portes dérobées de logiciels malveillants, pour finalement voler des actifs cryptés. D’après le rapport d’enquête d’Expel, au cours des trois premiers mois de 2026, les pertes se sont élevées à 12 millions de dollars.
MarketWhisperIl y a 36m
CryptoQuant : Le lancement d’une faille de KelpDAO déclenche la crise la plus grave depuis 2024, le TVL d’Aave chute de 33 %
Selon l’évaluation de CryptoQuant du 23 avril, l’attaque par faille de KelpDAO survenue la semaine dernière a exposé Aave, dans un délai de 72 heures, à un risque potentiel de créances irrécouvrables allant de 124 à 230 millions de dollars, tandis que le TVL a chuté de 33 %. Les taux d’emprunt des prêts en USDT et USDC sont passés de 3,4 % à 14 %, et le taux d’emprunt de l’ETH a atteint le niveau le plus élevé depuis janvier 2024, à 8 %.
MarketWhisperIl y a 1h
