Глава отдела информации по кибербезопасности компании Мувуй (SlowMist) передал предупреждение от команды безопасности Bitwarden: версия Bitwarden CLI 2026.4.0, которая за 1,5 часа с 5:57 до 7:30 по восточному времени в США 22 апреля через npm распространяла взломанную версию с вредоносным пакетом, была отозвана; Bitwarden официально подтвердила, что данные хранилища паролей и производственные системы не пострадали.
Подробности атаки: цель кражи вредоносной загрузки bw1.js
Вредоносная загрузка тихо запускается во время установки пакета из npm и собирает следующие типы данных:
· GitHub и npm Token
· SSH-ключи
· переменные окружения
· история команд Shell
· облачные учетные данные
· файлы зашифрованных кошельков (включая кошельки MetaMask, Phantom и Solana)
Украденные данные выгружаются на домены, контролируемые злоумышленниками, и отправляются в репозиторий GitHub с использованием механизма персистентности. Многие команды криптовалют используют Bitwarden CLI в процессах CI/CD автоматизации для внедрения ключей и развертывания; любой процесс, который запускал версию, подвергшуюся компрометации, может привести к утечке ценных ключей кошельков и API-учетных данных бирж.
Срочные шаги реагирования для затронутых пользователей
Пользователям, которые в окне с 5:57 до 7:30 по восточному времени США 22 апреля установили через npm версию 2026.4.0, необходимо выполнить следующие действия: немедленно удалить версию 2026.4.0; очистить кэш npm; выполнить ротацию всех чувствительных учетных данных, включая все API Token и SSH-ключи; проверить на аномальную активность в GitHub и в процессах CI/CD; выполнить обновление до исправленной версии 2026.4.1 (или выполнить даунгрейд до 2026.3.0, или загрузить с официального сайта Bitwarden официальные подписанные двоичные файлы).
Контекст атаки: впервые использован механизм доверенной публикации npm
Исследователь безопасности Adnan Khan указал, что эта атака — пример известного первого использования механизма доверенной публикации npm для взлома программных пакетов. Эта атака связана с активностью поставщикской цепочки атак TeamPCP: начиная с марта 2026 года TeamPCP провела аналогичные атаки против средств безопасности Trivy, платформы безопасности кода Checkmarx и инструмента ИИ LiteLLM, цель — встраивание инструментов разработчика в процессы сборки CI/CD.
Часто задаваемые вопросы
Как подтвердить, установлена ли у меня затронутая версия 2026.4.0?
Можно выполнить команду npm list -g @bitwarden/cli, чтобы проверить установленные версии. Если отображается 2026.4.0 и время установки попадает в период с 5:57 до 7:30 по восточному времени США 22 апреля, нужно немедленно предпринять меры реагирования. Даже если вы не уверены во времени установки, рекомендуется самостоятельно выполнить ротацию всех соответствующих учетных данных.
Данные хранилища паролей Bitwarden были ли раскрыты?
Нет. Bitwarden официально подтвердила, что данные хранилища паролей пользователей и производственные системы не были затронуты. Эта атака повлияла только на процесс сборки CLI; целью атаки были учетные данные разработчиков и файлы зашифрованных кошельков, а не пользовательская база данных с паролями платформы Bitwarden.
Каков более широкий контекст поставщикской цепочки атак TeamPCP?
Начиная с марта 2026 года TeamPCP запустила серию атак на инструменты разработчика; среди пострадавших целей — Trivy, Checkmarx и LiteLLM. Атака на Bitwarden CLI является частью той же серии активностей: цель — встроить инструменты разработчика в процессы сборки CI/CD, чтобы в автоматизированных конвейерах похищать ценные учетные данные.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Криптобиржа Zondacrypto сталкивается с обвинениями в присвоении 350 миллионов долларов, генеральный директор публично отрицает
Один из крупнейших криптовалютных бирж Польши Zondacrypto. Его генеральный директор Пржемыслав Крал (Przemysław Kral) 16 апреля публично заявил в социальных сетях, что биржа не может получить доступ к кошельку, в котором хранится 4 503 биткоина; текущая стоимость превышает 350 миллионов долларов США. Крал опубликовал адрес соответствующего кошелька, чтобы опровергнуть обвинения в присвоении, но данное раскрытие сразу же вызвало массовые выводы средств.
MarketWhisper1ч назад
JPMorgan: KelpDAO уязвимость стёрла 20 млрд DeFi TVL, инвестиционная привлекательность институтов пострадала
Команда исследователей JPMorgan под руководством аналитика Николаоса Панагиртцоглу 23 апреля опубликовала отчет, в котором говорится, что сохраняющиеся уязвимости безопасности и стагнирующая общая стоимость заблокированных средств (TVL) подрывают привлекательность децентрализованных финансов (DeFi) для институциональных инвесторов. В отчете подчеркивается, что уязвимость KelpDAO за считанные дни уничтожила примерно 200 млрд долларов DeFi TVL, выявив структурные риски.
MarketWhisper2ч назад
SlowMist предупреждение: северокорейская хакерская группа набирает и обманывает Web3-разработчиков, за 3 месяца похитили 12 миллионов
КИБER-безопасность медленно «Пыль» выпустила срочное предупреждение: северокорейская организация Lazarus задействует дочернюю организацию HexagonalRodent для атак на разработчиков Web3. С помощью методов социальной инженерии, включая высокооплачиваемые удаленные должности, она побуждает разработчиков выполнять код для оценки навыков, который включает бэкдор вредоносного ПО, а в итоге похищает криптоактивы. Согласно отчету исследовательской компании Expel, в первые три месяца 2026 года сумма потерь достигла 12 миллионов долларов.
MarketWhisper2ч назад
CoW DAO 提议 компенсировать cow.fi 域名劫持受害者,最高 100% 赔付损失
CoW DAO 23 апреля в ходе форума по вопросам управления опубликовала компенсационное предложение (CIP), в котором предлагается создать программу дискреционных субсидий, чтобы предоставить пострадавшим от инцидента с захватом домена cow.fi, произошедшего 14 апреля, компенсацию ущерба в размере до 100%. Оценочно инцидент привел к потерям пользователей примерно на 1,2 млн долларов США USDC. CoW DAO подчеркивает, что компенсации носят добровольный характер и являются мерой особой поддержки, а не означают признание какой-либо юридической ответственности.
MarketWhisper2ч назад
CryptoQuant: KelpDAO взлом — крупнейший с 2024 года кризис, Aave TVL упал на 33%
Согласно оценке CryptoQuant от 23 апреля, хакерская атака на KelpDAO, произошедшая на прошлой неделе, в течение 72 часов создала для Aave риск потенциальных безнадежных долгов в размере от 124 млн до 230 млн долларов, TVL рухнул на 33%, а ставки по займам USDT и USDC взлетели с 3,4% до 14%; ставка по займам в ETH поднялась до максимального уровня с января 2024 года — 8%.
MarketWhisper2ч назад
Северокорейская APT-группа HexagonalRodent украла $12M в криптовалюте у разработчиков Web3 с помощью атак, усиленных ИИ
Сообщение Gate News, 24 апреля — Северокорейская финансируемая государством группа APT под названием HexagonalRodent похитила более $12 миллиона в криптовалюте и NFT у разработчиков Web3 в первом квартале 2026 года, сообщает компания Expel в области кибербезопасности. Группа скомпрометировала 2 726 устройств разработчиков и получила доступ
GateNews3ч назад
