Phó trưởng an ninh thông tin của công ty Mists (Slow Mist) 23pds đã chuyển tiếp cảnh báo của nhóm bảo mật Bitwarden. Phiên bản Bitwarden CLI 2026.4.0 đã từng bị chèn sửa phiên bản npm độc hại được phát hành qua npm trong khoảng 1,5 giờ từ 5:57 đến 7:30 chiều ngày 22 tháng 4 (giờ miền Đông Hoa Kỳ); phiên bản đã bị rút lại. Bitwarden chính thức xác nhận dữ liệu kho mật khẩu và hệ thống sản xuất không bị ảnh hưởng.
Chi tiết cuộc tấn công: Mục tiêu đánh cắp của tải trọng độc hại bw1.js
Tải trọng độc hại lặng lẽ chạy trong quá trình cài đặt gói npm, thu thập các loại dữ liệu sau:
· GitHub và Token npm
· Khóa SSH
· Biến môi trường
· Lịch sử Shell
· Thông tin xác thực đám mây
· Tài liệu ví tiền mã hóa (bao gồm MetaMask, Phantom và ví Solana)
Dữ liệu bị đánh cắp được rò rỉ tới các miền do kẻ tấn công kiểm soát và được gửi kèm cơ chế duy trì đến kho GitHub. Nhiều nhóm tiền mã hóa sử dụng Bitwarden CLI trong các quy trình tự động hóa CI/CD để chèn khóa và triển khai; bất kỳ quy trình nào đã chạy phiên bản bị xâm nhập đều có thể làm lộ các khóa ví có giá trị cao và thông tin xác thực API của sàn giao dịch.
Các bước ứng phó khẩn cấp cho người dùng bị ảnh hưởng
Chỉ những người đã cài đặt phiên bản 2026.4.0 thông qua npm trong khung thời gian từ 5:57 đến 7:30 chiều ngày 22 tháng 4 (giờ miền Đông Hoa Kỳ) cần thực hiện các hành động sau: gỡ cài đặt ngay phiên bản 2026.4.0; xóa bộ nhớ đệm npm; xoay vòng tất cả thông tin xác thực nhạy cảm như API Token và SSH Key; kiểm tra hoạt động bất thường trong quy trình GitHub và CI/CD; nâng cấp lên phiên bản 2026.4.1 đã được vá (hoặc hạ cấp về 2026.3.0, hoặc tải xuống các tệp nhị phân chính thức được ký chính thức từ trang web chính thức của Bitwarden).
Bối cảnh cuộc tấn công: Cơ chế phát hành tin cậy của npm lần đầu bị lợi dụng
Nhà nghiên cứu bảo mật Adnan Khan cho biết, cuộc tấn công này là một trong những trường hợp được biết đến đầu tiên lợi dụng cơ chế phát hành tin cậy của npm để xâm nhập các gói phần mềm. Cuộc tấn công này có liên quan đến hoạt động tấn công chuỗi cung ứng của TeamPCP. Từ tháng 3 năm 2026, TeamPCP đã tiến hành các cuộc tấn công tương tự nhằm vào công cụ bảo mật Trivy, nền tảng bảo mật mã Checkmarx và công cụ AI LiteLLM, với mục tiêu cài công cụ dành cho nhà phát triển vào quy trình xây dựng CI/CD.
Câu hỏi thường gặp
Làm thế nào để xác nhận mình đã cài đặt phiên bản 2026.4.0 bị ảnh hưởng hay chưa?
Có thể chạy lệnh npm list -g @bitwarden/cli để xem các phiên bản đã cài đặt. Nếu hiển thị 2026.4.0 và thời điểm cài đặt nằm trong khoảng từ 5:57 đến 7:30 chiều ngày 22 tháng 4 (giờ miền Đông Hoa Kỳ), cần thực hiện ứng phó ngay lập tức. Dù không chắc về thời điểm cài đặt, vẫn khuyến nghị chủ động xoay vòng tất cả các thông tin xác thực liên quan.
Dữ liệu kho mật khẩu của Bitwarden có bị rò rỉ không?
Không. Bitwarden chính thức xác nhận rằng dữ liệu kho mật khẩu của người dùng và hệ thống sản xuất đều không bị ảnh hưởng. Cuộc tấn công này chỉ tác động đến quá trình xây dựng của CLI; mục tiêu của cuộc tấn công là thông tin xác thực dành cho nhà phát triển và tài liệu ví tiền mã hóa, chứ không phải cơ sở dữ liệu mật khẩu người dùng của nền tảng Bitwarden.
Bối cảnh rộng hơn của hoạt động tấn công chuỗi cung ứng TeamPCP là gì?
Kể từ tháng 3 năm 2026, TeamPCP đã phát động một loạt các cuộc tấn công chuỗi cung ứng nhằm vào các công cụ dành cho nhà phát triển. Các mục tiêu bị hại bao gồm Trivy, Checkmarx và LiteLLM. Cuộc tấn công vào Bitwarden CLI này là một phần của cùng một chuỗi hoạt động, nhằm cài các công cụ dành cho nhà phát triển vào quy trình xây dựng CI/CD để đánh cắp các thông tin xác thực có giá trị cao trong các đường ống tự động hóa.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Sàn giao dịch Zondacrypto vướng cáo buộc biển thủ 350 triệu USD, CEO công khai phủ nhận
Một trong những sàn giao dịch tiền mã hóa lớn nhất tại Ba Lan, CEO của Zondacrypto là Przemysław Kral đã công khai tuyên bố trên mạng xã hội vào ngày 16 tháng 4 rằng sàn này không thể truy cập một ví chứa 4,503 Bitcoin, hiện có giá trị hơn 350 triệu USD. Ông Kral đã công bố địa chỉ ví liên quan để bác bỏ cáo buộc biển thủ, nhưng ngay sau sự tiết lộ này, đã xảy ra tình trạng rút tiền hàng loạt.
MarketWhisper1giờ trước
JPMorgan: Lỗi KelpDAO xóa sổ 20 tỷ DeFi TVL, sức hấp dẫn của tổ chức bị suy giảm
Báo cáo do nhóm nghiên cứu của JPMorgan, do nhà phân tích Nikolaos Panigirtzoglou dẫn dắt, công bố vào ngày 23 tháng 4 cho biết, các lỗ hổng bảo mật dai dẳng và tổng giá trị khóa (TVL) ì ạch đang làm suy yếu sức hấp dẫn của tài chính phi tập trung (DeFi) đối với các nhà đầu tư tổ chức. Báo cáo nhấn mạnh rằng lỗ hổng của KelpDAO đã xóa đi khoảng 200 tỷ USD DeFi TVL trong vài ngày, phơi bày rủi ro mang tính cấu trúc.
MarketWhisper2giờ trước
Cảnh báo mù sương: Tổ chức hacker Triều Tiên tuyển dụng để lừa các nhà phát triển Web3, trong 3 tháng trộm 12 triệu
Cơ quan an ninh Slow Mist phát cảnh báo khẩn cấp, tổ chức Lazarus của Triều Tiên đang tấn công các nhà phát triển Web3 thông qua tổ chức con HexagonalRodent trực thuộc. Thông qua các thủ đoạn kỹ thuật xã hội như vị trí từ xa lương cao, chúng dụ dỗ các nhà phát triển thực thi mã đánh giá kỹ năng bao gồm mã nguồn cửa hậu phần mềm độc hại, cuối cùng đánh cắp tài sản mã hóa. Theo báo cáo điều tra của Expel, trong ba tháng đầu năm 2026, số tiền thiệt hại đạt 12,0 triệu USD.
MarketWhisper2giờ trước
Đề xuất CoW DAO bồi thường cho các nạn nhân bị chiếm đoạt tên miền cow.fi, bồi hoàn tối đa 100% thiệt hại
CoW DAO vào ngày 23 tháng 4 đã công bố đề xuất bồi thường (CIP) trên diễn đàn quản trị, đề xuất thiết lập một chương trình trợ cấp tùy ý, để cung cấp bồi thường thiệt hại lên tới 100% cho các nạn nhân của sự cố chiếm đoạt tên miền cow.fi diễn ra vào ngày 14 tháng 4. Sự cố ước tính gây ra thiệt hại cho người dùng khoảng 120 vạn đô la USDC, CoW DAO nhấn mạnh rằng việc bồi thường mang tính chất hỗ trợ ưu đãi được phát tự nguyện, không đồng nghĩa với việc thừa nhận bất kỳ trách nhiệm pháp lý nào.
MarketWhisper2giờ trước
CryptoQuant: KelpDAO bị khai thác lỗ hổng, một trong những cuộc khủng hoảng nghiêm trọng nhất kể từ năm 2024, Aave TVL giảm 33%
Theo đánh giá của CryptoQuant vào ngày 23 tháng 4, cuộc tấn công lỗ hổng của KelpDAO xảy ra trong tuần trước đã tạo ra rủi ro nợ xấu tiềm ẩn cho Aave trong vòng 72 giờ từ 124 triệu đến 230 triệu USD, TVL sụt giảm 33%, lãi suất vay đối với USDT và USDC đã tăng vọt từ 3,4% lên 14%, và lãi suất vay ETH đạt mức cao nhất kể từ tháng 1 năm 2024 là 8%.
MarketWhisper2giờ trước
Nhóm APT của Triều Tiên HexagonalRodent đánh cắp $12M tiền mã hóa từ các nhà phát triển Web3 bằng các cuộc tấn công sử dụng AI
Tin tức từ Gate, ngày 24 tháng 4 — Một nhóm APT do Triều Tiên tài trợ, được đặt biệt danh là HexagonalRodent, đã đánh cắp hơn $12 triệu USD tiền mã hóa và NFT từ các nhà phát triển Web3 trong quý đầu tiên của năm 2026, theo công ty an ninh mạng Expel. Nhóm này đã xâm nhập 2,726 thiết bị của nhà phát triển và giành được quyền truy cập vào 26,584 ví tiền mã hóa.
GateNews3giờ trước
