慢霧首席資訊安全長 23pds 轉發 Bitwarden 安全團隊警告,Bitwarden CLI 2026.4.0 版本曾於 4 月 22 日美東時間下午 5:57 至 7:30 的 1.5 小時內,通過 npm 發布惡意包被篡改的 npm 版本已被撤回,Bitwarden 官方確認密碼金庫數據和生產系統未受影響。
攻擊詳情:bw1.js 惡意負載的竊取目標
惡意負載在 npm 包安裝期間靜默運行,收集以下類型的數據:
· GitHub 和 npm Token
· SSH 金鑰
· 環境變量
· Shell 歷史記錄
· 雲端憑證
· 加密錢包文件(包括 MetaMask、Phantom 和 Solana 錢包)
被盜數據被洩露至攻擊者控制的域名,並以持久化機制提交至 GitHub 倉庫。許多加密貨幣團隊在 CI/CD 自動化流程中使用 Bitwarden CLI 進行密鑰注入和部署,任何運行過被入侵版本的流程都可能洩露高價值的錢包密鑰和交易所 API 憑證。
受影響用戶的緊急應對步驟
僅在 4 月 22 日美東時間 5:57 至 7:30 窗口內通過 npm 安裝 2026.4.0 版本的用戶需採取以下行動:立即卸載 2026.4.0 版本;清理 npm 緩存;輪換所有 API Token 和 SSH 金鑰等敏感憑證;檢查 GitHub 和 CI/CD 流程的異常活動;升級至已修復的 2026.4.1 版本(或降級至 2026.3.0,或從 Bitwarden 官網下載官方簽署的二進制文件)。
攻擊背景:npm 可信發布機制首次遭利用
安全研究員 Adnan Khan 指出,此次攻擊是已知首次利用 npm 可信發布機制入侵軟件包的案例。此次攻擊與 TeamPCP 供應鏈攻擊活動有關,自 2026 年 3 月以來,TeamPCP 已對安全工具 Trivy、代碼安全平台 Checkmarx 和 AI 工具 LiteLLM 發動了類似攻擊,目標是嵌入在 CI/CD 建置流程中的開發者工具。
常見問題
如何確認自己是否安裝了受影響的 2026.4.0 版本?
可運行 npm list -g @bitwarden/cli 查看已安裝的版本。若顯示 2026.4.0 且安裝時間在 4 月 22 日美東時間 5:57 至 7:30 之間,需立即採取應對措施。即使不確定安裝時間,也建議主動輪換所有相關憑證。
Bitwarden 的密碼金庫數據是否洩露?
沒有。Bitwarden 官方確認,用戶密碼金庫數據和生產系統均未受到損害。此次攻擊僅影響 CLI 的建置過程,攻擊目標是開發者憑證和加密錢包文件,而非 Bitwarden 平台的用戶密碼數據庫。
TeamPCP 供應鏈攻擊活動的更廣泛背景是什麼?
TeamPCP 自 2026 年 3 月起針對開發者工具發動了系列供應鏈攻擊,受害目標包括 Trivy、Checkmarx 和 LiteLLM。此次對 Bitwarden CLI 的攻擊是同一系列活動的一部分,目標是嵌入在 CI/CD 建置流程中的開發者工具,以在自動化管道中竊取高價值憑證。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Zondacrypto 交易所遇 3.5 億美元挪用指控,執行長公開否認
波蘭最大加密貨幣交易所之一 Zondacrypto 的執行長普熱米斯瓦夫·克拉爾(Przemysław Kral)於 4 月 16 日在社群媒體上公開聲明,該交易所無法存取一個持有 4,503 枚比特幣的錢包,現值逾 3.5 億美元。克拉爾公布了涉事錢包地址以否認挪用指控,但此一披露隨即引發大規模提現。
Market Whisper1小時前
摩根大通:KelpDAO 漏洞抹去 200 億 DeFi TVL,機構吸引力受損
由分析師 Nikolaos Panigirtzoglou 領銜的摩根大通研究團隊,於 4 月 23 日發布報告指出,持續存在的安全漏洞與停滯不前的總鎖定價值(TVL)正在削弱去中心化金融(DeFi)對機構投資者的吸引力。報告強調,KelpDAO 漏洞在數日內抹去約 200 億美元的 DeFi TVL,暴露出結構性風險。
Market Whisper2小時前
慢霧預警:北韓黑客組織招聘誘騙 Web3 開發者,3 個月竊 1200 萬
安全機構慢霧發布緊急預警,北韓 Lazarus 組織旗下子組織 HexagonalRodent 正針對 Web3 開發者發動攻擊,透過高薪遠程崗位等社交工程手段,誘導開發者執行包含惡意軟件後門的技能評估代碼,最終竊取加密資產。根據 Expel 調查報告,2026 年前三個月,損失金額達 1,200 萬美元。
Market Whisper2小時前
CoW DAO 提議補償 cow.fi 域名劫持受害者,最高 100% 賠付損失
CoW DAO 於 4 月 23 日在治理論壇發布補償提案(CIP),提議設立酌情補助計劃,為 4 月 14 日 cow.fi 域名劫持事件的受害者提供最高 100% 的損失補償。事件估計造成用戶損失約 120 萬美元 USDC,CoW DAO 強調,補償屬於自願發放的特惠性質,不代表承認任何法律責任。
Market Whisper2小時前
CryptoQuant:KelpDAO 漏洞引爆 2024 年來最嚴重危機,Aave TVL 暴跌 33%
根據 CryptoQuant 於 4 月 23 日評估,上週發生的 KelpDAO 漏洞攻擊,在 72 小時內使 Aave 面臨 1.24 億至 2.3 億美元的潛在壞帳風險,TVL 暴跌 33%,USDT 和 USDC 借款利率從 3.4% 飆升至 14%,ETH 借款利率升至 2024 年 1 月來最高水準 8%。
Market Whisper2小時前
北韓 APT 組織 HexagonalRodent 使用 AI 驅動攻擊從 Web3 開發者竊取 $12M (加密貨幣)
Gate News 消息,4 月 24 日——根據網路安全公司 Expel 的說法,一個被稱為 HexagonalRodent 的北韓國家支持 APT 組織在 2026 年第一季度從 Web3 開發者竊取了超過 $12 百萬美元的加密貨幣與 NFT。該組織攻陷了 2,726 台開發者裝置,並獲得了存取權
GateNews3小時前
