Глава отдела информации по кибербезопасности компании Мувуй (SlowMist) передал предупреждение от команды безопасности Bitwarden: версия Bitwarden CLI 2026.4.0, которая за 1,5 часа с 5:57 до 7:30 по восточному времени в США 22 апреля через npm распространяла взломанную версию с вредоносным пакетом, была отозвана; Bitwarden официально подтвердила, что данные хранилища паролей и производственные системы не пострадали.
Подробности атаки: цель кражи вредоносной загрузки bw1.js
Вредоносная загрузка тихо запускается во время установки пакета из npm и собирает следующие типы данных:
· GitHub и npm Token
· SSH-ключи
· переменные окружения
· история команд Shell
· облачные учетные данные
· файлы зашифрованных кошельков (включая кошельки MetaMask, Phantom и Solana)
Украденные данные выгружаются на домены, контролируемые злоумышленниками, и отправляются в репозиторий GitHub с использованием механизма персистентности. Многие команды криптовалют используют Bitwarden CLI в процессах CI/CD автоматизации для внедрения ключей и развертывания; любой процесс, который запускал версию, подвергшуюся компрометации, может привести к утечке ценных ключей кошельков и API-учетных данных бирж.
Срочные шаги реагирования для затронутых пользователей
Пользователям, которые в окне с 5:57 до 7:30 по восточному времени США 22 апреля установили через npm версию 2026.4.0, необходимо выполнить следующие действия: немедленно удалить версию 2026.4.0; очистить кэш npm; выполнить ротацию всех чувствительных учетных данных, включая все API Token и SSH-ключи; проверить на аномальную активность в GitHub и в процессах CI/CD; выполнить обновление до исправленной версии 2026.4.1 (или выполнить даунгрейд до 2026.3.0, или загрузить с официального сайта Bitwarden официальные подписанные двоичные файлы).
Контекст атаки: впервые использован механизм доверенной публикации npm
Исследователь безопасности Adnan Khan указал, что эта атака — пример известного первого использования механизма доверенной публикации npm для взлома программных пакетов. Эта атака связана с активностью поставщикской цепочки атак TeamPCP: начиная с марта 2026 года TeamPCP провела аналогичные атаки против средств безопасности Trivy, платформы безопасности кода Checkmarx и инструмента ИИ LiteLLM, цель — встраивание инструментов разработчика в процессы сборки CI/CD.
Часто задаваемые вопросы
Как подтвердить, установлена ли у меня затронутая версия 2026.4.0?
Можно выполнить команду npm list -g @bitwarden/cli, чтобы проверить установленные версии. Если отображается 2026.4.0 и время установки попадает в период с 5:57 до 7:30 по восточному времени США 22 апреля, нужно немедленно предпринять меры реагирования. Даже если вы не уверены во времени установки, рекомендуется самостоятельно выполнить ротацию всех соответствующих учетных данных.
Данные хранилища паролей Bitwarden были ли раскрыты?
Нет. Bitwarden официально подтвердила, что данные хранилища паролей пользователей и производственные системы не были затронуты. Эта атака повлияла только на процесс сборки CLI; целью атаки были учетные данные разработчиков и файлы зашифрованных кошельков, а не пользовательская база данных с паролями платформы Bitwarden.
Каков более широкий контекст поставщикской цепочки атак TeamPCP?
Начиная с марта 2026 года TeamPCP запустила серию атак на инструменты разработчика; среди пострадавших целей — Trivy, Checkmarx и LiteLLM. Атака на Bitwarden CLI является частью той же серии активностей: цель — встроить инструменты разработчика в процессы сборки CI/CD, чтобы в автоматизированных конвейерах похищать ценные учетные данные.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Slow Mist Warns of MioLab, Malware-as-a-Service Platform Targeting Crypto Assets and Hardware Wallets on macOS
Gate News message, April 24 — Slow Mist Chief Information Security Officer 23pds disclosed on X that MioLab is a highly commercialized macOS malware-as-a-service (MaaS) platform actively promoted on Russian underground forums, offering C2 control, API integration, and customized attack
GateNews40м назад
Бывшего командующего спецподразделений ВМС США задержали: используя конфиденциальную информацию, сделал ставки на Polymarket на арест Мадуро, получив прибыль 400 000 долларов
Министерство юстиции США в Южном округе Нью-Йорка предъявило обвинение старшему сержанту спецподразделения армии США Ганнону Кену Ван Дайку, утверждая, что он использовал конфиденциальную информацию для ставок в Polymarket на исход ареста Мадуро и получил прибыль примерно 409,881 доллара США (13 сделок, 27.12.2025 — 26.01.2026). В обвинении говорится о незаконном использовании конфиденциальной информации, краже непубличных сведений, мошенничестве в товарных сделках, мошенничестве с банковскими переводами и незаконных операциях с деньгами и т. п. Это, как утверждается, первый случай федерального обвинения, в основе которого лежит арбитраж, построенный на инсайде и прогнозных рынках, что может повлиять на будущие направления регулирования.
ChainNewsAbmedia1ч назад
Испанская полиция изъяла криптовалюту на €400K у нелегальной платформы пиратской манги, задержаны 3 человека
Сообщение Gate News, 24 апреля — испанская полиция в Альмерии изъяла два криптовалютных аппаратных кошелька с содержимым примерно на €400,000 во время рейда на крупнейшую в стране нелегальную платформу распространения манги. В рамках операции, которая была начата
GateNews3ч назад
OFAC вводит санкции против камбоджийского сенатора за крипто-мошенническую сеть
OFAC наложил санкции на камбоджийского сенатора из-за крипто-схемы мошеннической сети
Офис по контролю за иностранными активами (OFAC) в составе Министерства финансов США наложил санкции на камбоджийского сенатора Кок Ан, которого обвиняют в контроле над «мошенническими комплексами» по всей Камбодже, которые обманули американцев. OFAC обозначил Ана и еще 28 других
CryptoFrontier3ч назад
США вводят санкции против кхмерских высокопоставленных лиц за мошеннические «парки» стоимостью в 10 миллиардов! Tether заморозил более 344 миллионов долларов США USDT
Недавно Министерство финансов и Министерство юстиции США провели совместную операцию по борьбе с «пиг-баучингом» — мошенничеством с романтическими свиданиями и вербовкой в сфере криптовалют, которое в последние время все более нагло процветает в Юго-Восточной Азии. В официальном сообщении о санкциях власти заявили о введении ограничительных мер в отношении камбоджийского сенатора Лоанга (Kok An) и 28 физических лиц и организаций в его преступной сети, обвинив их в том, что они использовали политическое влияние и собственные казино-площадки, укрывая крупномасштабные мошеннические и торговлей людьми. По оценкам, эти мошеннические действия ежегодно приводят к потерям американских граждан до 10 млрд долларов. В рамках этой операции по пресечению деятельности компания-эмитент стейблкоинов Rether также уже заморозила более 344 млн долларов в цифровых активах, связанных с делом.
Мошенничество «романтика-пиг-баучинг»: потери американских граждан за год превысили 10 млрд долларов
В последние годы международные преступные организации, базирующиеся в Юго-Восточной Азии, в массовом порядке используют мошенническую схему под названием «пиг-баучинг» (Pig Butchering). Мошенники будут через социальные сети или мессенджеры тратить месяцы
ChainNewsAbmedia3ч назад
