Gate News 消息,4 月 24 日 — 据 SlowMist 首席信息安全官 23pds 称,在 4 月 24 日 17:57 至 19:30(ET)之间发生的一起供应链攻击中,Bitwarden CLI 版本 2026.4.0 遭到入侵。攻击者利用 Bitwarden 的 CI/CD 流水线中的 GitHub Actions 注入了恶意包,该恶意包被短暂地通过 npm 分发。
该攻击针对仓库的持续集成工作流,使未经授权的代码得以进入软件包注册表。然而,Bitwarden 确认 Vault 数据未遭到破坏,生产系统未受影响,仅在 1.5 小时的窗口期内从 npm 安装了 2026.4.0 版本的用户受到影响。
Bitwarden 建议受影响用户立即卸载 2026.4.0 版本,清理 npm 缓存,轮换 API 令牌和 SSH 密钥,审计 GitHub 与 CI 活动中的异常,并升级到已修补的版本 2026.4.1。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Zondacrypto交易所遭3.5亿美元挪用指控,执行长公开否认
波兰最大的加密货币交易所之一 Zondacrypto 的执行长普热米斯瓦夫·克拉尔(Przemysław Kral)于 4 月 16 日在社交媒体上公开声明,该交易所无法存取一个持有 4,503 枚比特币的钱包,现值逾 3.5 亿美元。克拉尔公布了涉事钱包地址以否认挪用指控,但此一披露随即引发大规模提现。
Market Whisper1小时前
Bitwarden CLI 惡意 npm 包曝光,加密錢包面臨竊取風險
慢霧首席信息安全官 23pds 转发 Bitwarden 安全团队警告,Bitwarden CLI 2026.4.0 版本曾于 4 月 22 日美东时间下午 5:57 至 7:30 的 1.5 小时内,通过 npm 发布恶意包被篡改的 npm 版本已被撤回,Bitwarden 官方确认密码金库数据和生产系统未受影响。
Market Whisper1小时前
摩根大通:KelpDAO 漏洞抹去 200 亿 DeFi TVL,机构吸引力受损
由分析师 Nikolaos Panigirtzoglou 领衔的摩根大通研究团队,于 4 月 23 日发布报告指出,持续存在的安全漏洞与停滞不前的总锁定价值(TVL)正在削弱去中心化金融(DeFi)对机构投资者的吸引力。报告强调,KelpDAO 漏洞在数日内抹去约 200 亿美元的 DeFi TVL,暴露出结构性风险。
Market Whisper1小时前
SlowMist 警报:朝鲜黑客组织招募诱骗 Web3 开发者,3 个月窃取 1200 万
安全机构慢雾发布紧急预警,北韩 Lazarus 组织旗下子组织 HexagonalRodent 正针对 Web3 开发者发动攻击,透过高薪远程岗位等社交工程手段,诱导开发者执行包含恶意软件后门的技能评估代码,最终窃取加密资产。根据 Expel 调查报告,2026 年前三个季度,损失金额达 1,200 万美元。
Market Whisper1小时前
CoW DAO 提议补偿 cow.fi 域名劫持受害者,最高 100% 赔付损失
CoW DAO 于 4 月 23 日在治理论坛发布补偿提案(CIP),提议设立酌情补助计划,为 4 月 14 日 cow.fi 域名劫持事件的受害者提供最高 100% 的损失补偿。事件估计造成用户损失约 120 万美元 USDC,CoW DAO 强调,补偿属于自愿发放的特惠性质,不代表承认任何法律责任。
Market Whisper2小时前
CryptoQuant:KelpDAO 泄露漏洞引爆 2024 年以来最严重危机,Aave TVL 暴跌 33%
根据 CryptoQuant 在 4 月 23 日评估,上周发生的 KelpDAO 漏洞攻击,在 72 小时内使 Aave 面临 1.24 亿至 2.3 亿美元的潜在坏账风险,TVL 暴跌 33%,USDT 和 USDC 借款利率从 3.4% 飙升至 14%,ETH 借款利率升至 2024 年 1 月以来最高水平 8%。
Market Whisper2小时前
