Керівник відділу інформаційної безпеки з 23pds пов’ідомив про попередження безпекової команди Bitwarden і поширив його. Згідно з попередженням, версію npm 2026.4.0 CLI Bitwarden було відкликано: протягом 1,5 години з 5:57 до 7:30 за східним часом 22 квітня, через npm було поширено підмінений шкідливий пакет. Bitwarden офіційно підтвердив, що дані сховища паролів та виробничі системи не зазнали впливу.
Деталі атаки: ціль крадіжки в зловмисному завантаженні bw1.js
Зловмисне навантаження безшумно працювало під час встановлення пакета в npm, збираючи такі типи даних:
· GitHub і npm Token
· SSH ключі
· змінні середовища
· історію команд оболонки (Shell)
· хмарні облікові дані
· файли зашифрованих гаманців (включно з гаманцями MetaMask, Phantom і Solana)
Украдені дані витікали на домени, контрольовані зловмисниками, і подавалися до репозиторію GitHub через механізм персистентності. Багато команд криптовалют у CI/CD автоматизації використовують Bitwarden CLI для ін’єкції ключів і розгортання; будь-які процеси, які запускалися з ураженою версією, могли розкрити цінні ключі гаманців і API-облікові дані бірж.
Невідкладні кроки реагування для постраждалих користувачів
Лише користувачі, які встановили версію 2026.4.0 через npm у вікні з 5:57 до 7:30 за східним часом 22 квітня, мають виконати такі дії: негайно деінсталювати версію 2026.4.0; очистити кеш npm; здійснити ротацію всіх чутливих облікових даних, зокрема всіх API Token і SSH ключів; перевірити аномальну активність у процесах GitHub і CI/CD; оновитися до виправленої версії 2026.4.1 (або понизити версію до 2026.3.0, або завантажити з офіційного сайту Bitwarden офіційні підписані бінарні файли).
Передумови атаки: механізм довіреної публікації npm уперше використано
Безпековий дослідник Adnan Khan зазначив, що це — випадок відомого першого використання механізму довіреної публікації npm для компрометації софт-пакетів. Ця атака пов’язана з активністю атаки в ланцюгу постачання TeamPCP. Починаючи з березня 2026 року, TeamPCP здійснювала подібні атаки на безпекові інструменти Trivy, кодову безпекову платформу Checkmarx та AI-інструмент LiteLLM з метою вбудовування розробницьких інструментів у процеси збирання CI/CD.
Поширені запитання
Як підтвердити, чи встановлено уражену версію 2026.4.0?
Можна виконати npm list -g @bitwarden/cli, щоб перевірити встановлені версії. Якщо відображається 2026.4.0 і час встановлення припадає на період з 5:57 до 7:30 за східним часом 22 квітня, потрібно негайно вжити заходів реагування. Навіть якщо час встановлення невідомий, рекомендується самостійно здійснити ротацію всіх відповідних облікових даних.
Чи витікали дані сховища паролів Bitwarden?
Ні. Bitwarden офіційно підтвердив, що дані сховища паролів користувачів і виробничі системи не були скомпрометовані. Ця атака стосувалася лише процесу збирання для CLI; її мішенню були облікові дані розробника та файли зашифрованих гаманців, а не база даних паролів користувачів платформи Bitwarden.
Які ширші фонові обставини атаки в ланцюгу постачання TeamPCP?
TeamPCP, починаючи з березня 2026 року, розпочала серію атак на інструменти для розробників у ланцюгу постачання; серед постраждалих цілей були Trivy, Checkmarx і LiteLLM. Атака на Bitwarden CLI є частиною тієї ж серії активностей: її мета — вбудовування інструментів для розробників у процеси збирання CI/CD, щоб викрадати цінні облікові дані в автоматизованих конвеєрах.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Zondacrypto біржа стикається з обвинуваченням у привласненні 350 млн доларів США, генеральний директор публічно заперечує
Один із найбільших криптовалютних бірж Польщі Zondacrypto керівник Пржемислав Крал (Przemysław Kral) 16 квітня публічно заявив у соцмережах, що біржа не може отримати доступ до гаманця, який містить 4,503 біткоїни, поточна вартість якого перевищує 350 млн доларів США. Крал оприлюднив адресу цього гаманця, щоб спростувати звинувачення у привласненні, але ця публікація одразу спричинила масові зняття коштів.
MarketWhisper1год тому
JPMorgan: KelpDAO усунув витік, знищивши 20 млрд DeFi TVL, інституційна привабливість знизилась
Дослідницька команда JPMorgan під керівництвом аналітика Ніколаоса Панігірцоглу, 23 квітня опублікувала звіт, у якому зазначено, що наявні безперервно вразливості безпеки та застійна загальна вартість, зафіксована (TVL), послаблюють привабливість децентралізованих фінансів (DeFi) для інституційних інвесторів. У звіті наголошується, що вразливість KelpDAO за кілька днів стерла приблизно 200 млрд доларів США DeFi TVL, розкриваючи структурні ризики.
MarketWhisper2год тому
Slow Mist попередження: північнокорейська хакерська група вербує та заманює Web3-розробників, за 3 місяці викрала 12 млн
Безпекова організація Slow Mist опублікувала термінове попередження: північнокорейська група Lazarus, пов’язана з нею дочірня структура HexagonalRodent, здійснює атаки проти розробників Web3. За допомогою соціальної інженерії, зокрема пропозицій високих зарплат за віддалену роботу, вона спонукає розробників виконувати код для оцінювання навичок, який містить шкідливе програмне забезпечення та бекдори, а в підсумку — викрадає криптоактиви. Згідно з дослідницьким звітом Expel, за перші три місяці 2026 року сума збитків досягла 1,200 мільйонів доларів США.
MarketWhisper2год тому
Пропозиція CoW DAO щодо компенсації постраждалим від викрадення домену cow.fi, до 100% відшкодування збитків
CoW DAO 23 квітня опублікував на форумі з управління пропозицію щодо компенсації (CIP), у якій запропонував створити програму дискреційних грантів для надання постраждалим від інциденту викрадення домену cow.fi 14 квітня максимальної компенсації втрат у розмірі до 100%. За оцінками, інцидент спричинив збитки користувачам приблизно на 120 тисяч доларів США USDC, CoW DAO підкреслив, що компенсація має добровільний характер і є спеціальною пільгою, яка не означає визнання будь-якої юридичної відповідальності.
MarketWhisper2год тому
CryptoQuant: Вразливість KelpDAO спричинила вибух, найсерйозніша криза з 2024 року, Aave TVL впав на 33%
Згідно з оцінкою CryptoQuant від 23 квітня, за минулий тиждень сталася експлуатація вразливості KelpDAO, яка протягом 72 годин створила для Aave потенційний ризик безнадійної заборгованості в розмірі від 124 до 230 мільйонів доларів США, TVL обвалився на 33%, а відсоткові ставки за позиками в USDT і USDC зросли з 3,4% до 14%. Ставка за позиками в ETH піднялася до найвищого рівня з січня 2024 року — 8%.
MarketWhisper2год тому
Північнокорейська APT-група HexagonalRodent викрадає $12M у криптовалюті в розробників Web3, використовуючи атаки на основі ШІ
Повідомлення Gate News, 24 квітня — Північнокорейська державна APT-група, відома як HexagonalRodent, викрала понад $12 мільйонів у криптовалюті та NFT у розробників Web3 у першому кварталі 2026 року, повідомляє компанія з кібербезпеки Expel. Група скомпрометувала 2 726 пристроїв розробників і отримала доступ до 26 584 криптогаманців.
GateNews3год тому
