Bitwarden CLI มีการเปิดเผยแพ็กเกจ npm ที่เป็นอันตราย ซึ่งสร้างความเสี่ยงต่อการถูกขโมยสำหรับกระเป๋าเงินเข้ารหัส

มุ่งกองข้อมูลข่าวสารความปลอดภัยของ Mist ชั้นนำ 23pds ส่งต่อคำเตือนจากทีมความปลอดภัยของ Bitwarden: เวอร์ชัน Bitwarden CLI 2026.4.0 เคยถูกถอนออกแล้ว ภายในช่วง 1.5 ชั่วโมง ตั้งแต่เวลา 5:57 ถึง 7:30 น. ตามเวลามาตรฐานตะวันออกของสหรัฐฯ ในวันที่ 22 เมษายน มีการเผยแพร่แพ็กเกจที่เป็นอันตรายผ่าน npm เวอร์ชันที่ถูกดัดแปลง และ Bitwarden ได้ยืนยันอย่างเป็นทางการว่า ข้อมูลของ Vault และระบบการผลิตไม่ได้รับผลกระทบ

รายละเอียดการโจมตี：เป้าหมายการขโมยของเพย์โหลดที่เป็นอันตราย bw1.js

เพย์โหลดที่เป็นอันตรายทำงานอย่างเงียบ ๆ ระหว่างการติดตั้งแพ็กเกจ npm และรวบรวมข้อมูลประเภทต่อไปนี้:

· GitHub และ npm Token

· กุญแจ SSH

· ตัวแปรสภาพแวดล้อม

· ประวัติคำสั่งของ Shell

· ข้อมูลรับรองของคลาวด์

· เอกสารกระเป๋าเงินเข้ารหัส (รวมถึง MetaMask, Phantom และกระเป๋าเงินของ Solana)

ข้อมูลที่ถูกขโมยถูกส่งไปยังโดเมนที่ผู้โจมตีกำหนด และถูกส่งไปยังคลัง GitHub พร้อมกลไกการคงอยู่ในระยะยาว มีทีมสกุลเงินดิจิทัลจำนวนมากที่ใช้ Bitwarden CLI ในกระบวนการทำงานอัตโนมัติ CI/CD เพื่อฉีดคีย์และปรับใช้ หากมีการรันกระบวนการที่ใช้เวอร์ชันที่ถูกบุกรุก อาจทำให้เกิดการรั่วไหลของคีย์กระเป๋าเงินที่มีมูลค่าสูงและข้อมูลรับรอง API ของตลาดแลกเปลี่ยน

ขั้นตอนเร่งด่วนสำหรับผู้ใช้ที่ได้รับผลกระทบ

ผู้ใช้ที่ติดตั้งเวอร์ชัน 2026.4.0 ผ่าน npm เฉพาะในหน้าต่างเวลาตั้งแต่ 5:57 ถึง 7:30 น. ตามเวลามาตรฐานตะวันออกของสหรัฐฯ วันที่ 22 เมษายน จำเป็นต้องดำเนินการดังต่อไปนี้: ถอนการติดตั้งทันทีเวอร์ชัน 2026.4.0; ล้างแคชของ npm; หมุนเวียนข้อมูลรับรองที่ละเอียดอ่อนทั้งหมด เช่น API Token และกุญแจ SSH; ตรวจสอบกิจกรรมที่ผิดปกติในกระบวนการ GitHub และ CI/CD; อัปเกรดเป็นเวอร์ชัน 2026.4.1 ที่ได้รับการแก้ไขแล้ว (หรือดาวน์เกรดเป็น 2026.3.0 หรือดาวน์โหลดไฟล์ไบนารีที่ลงนามอย่างเป็นทางการจากเว็บไซต์ทางการของ Bitwarden)

พื้นหลังการโจมตี：กลไกการเผยแพร่ที่เชื่อถือได้ของ npm ถูกนำมาใช้โจมตีเป็นครั้งแรก

นักวิจัยด้านความปลอดภัย Adnan Khan ระบุว่า การโจมตีครั้งนี้เป็นกรณีการถูกนำไปใช้โจมตี “เป็นครั้งแรกที่รู้จัก” ต่อกลไกการเผยแพร่ที่เชื่อถือได้ของ npm เพื่อบุกรุกแพ็กเกจซอฟต์แวร์ การโจมตีครั้งนี้เกี่ยวข้องกับกิจกรรมการโจมตีห่วงโซ่อุปทานของ TeamPCP ตั้งแต่เดือนมีนาคม 2026 เป็นต้นมา TeamPCP ได้ทำการโจมตีลักษณะเดียวกันต่อเครื่องมือความปลอดภัย Trivy แพลตฟอร์มความปลอดภัยของโค้ด Checkmarx และเครื่องมือ AI LiteLLM โดยมีเป้าหมายเพื่อฝังเครื่องมือสำหรับนักพัฒนาไว้ในกระบวนการสร้างของ CI/CD

คำถามที่พบบ่อย

จะยืนยันได้อย่างไรว่าได้ติดตั้งเวอร์ชัน 2026.4.0 ที่ได้รับผลกระทบหรือไม่？

สามารถเรียกดูเวอร์ชันที่ติดตั้งโดยใช้ npm list -g @bitwarden/cli หากแสดง 2026.4.0 และเวลาในการติดตั้งอยู่ระหว่าง 5:57 ถึง 7:30 น. ตามเวลามาตรฐานตะวันออกของสหรัฐฯ ในวันที่ 22 เมษายน จำเป็นต้องดำเนินการรับมือทันที แม้จะไม่แน่ใจเวลาในการติดตั้ง ก็ยังแนะนำให้หมุนเวียนข้อมูลรับรองทั้งหมดที่เกี่ยวข้องอย่างเชิงรุก

ข้อมูลของ Bitwarden Vault ถูกขโมยหรือไม่？

ไม่ Bitwarden ได้ยืนยันอย่างเป็นทางการว่า ข้อมูลของผู้ใช้ในรหัสผ่าน Vault และระบบการผลิตไม่ได้ถูกทำลาย การโจมตีครั้งนี้กระทบเพียงขั้นตอนการสร้างของ CLI โดยเป้าหมายคือข้อมูลรับรองของนักพัฒนาและเอกสารกระเป๋าเงินเข้ารหัส ไม่ใช่ฐานข้อมูลรหัสผ่านของผู้ใช้บนแพลตฟอร์ม Bitwarden

พื้นหลังที่กว้างขึ้นของกิจกรรมการโจมตีห่วงโซ่อุปทานของ TeamPCP คืออะไร？

ตั้งแต่เดือนมีนาคม 2026 เป็นต้นมา TeamPCP ได้เริ่มโจมตีห่วงโซ่อุปทานต่อชุดเครื่องมือสำหรับนักพัฒนาถือเป็นชุด โดยเป้าหมายที่ได้รับความเสียหายรวมถึง Trivy, Checkmarx และ LiteLLM การโจมตีต่อ Bitwarden CLI ในครั้งนี้เป็นส่วนหนึ่งของกิจกรรมชุดเดียวกัน โดยมีเป้าหมายในการฝังเครื่องมือสำหรับนักพัฒนาไว้ในกระบวนการสร้างของ CI/CD เพื่อขโมยข้อมูลรับรองที่มีมูลค่าสูงในท่ออัตโนมัติ