慢雾首席信息安全长 23pds 转发 Bitwarden 安全团队警告,Bitwarden CLI 2026.4.0 版本曾于 4 月 22 日美东时间下午 5:57 至 7:30 的 1.5 小时内,通过 npm 发布被篡改的 npm 版本已被撤回,Bitwarden 官方确认密码金库数据和生产系统未受影响。
攻击详情:bw1.js 恶意负载的窃取目标
恶意负载在 npm 包安装期间静默运行,收集以下类型的数据:
· GitHub 和 npm Token
· SSH 金钥
· 环境变量
· Shell 历史记录
· 云端凭证
· 加密钱包文件(包括 MetaMask、Phantom 和 Solana 钱包)
被盗数据被泄露至攻击者控制的域名,并以持久化机制提交至 GitHub 仓库。许多加密货币团队在 CI/CD 自动化流程中使用 Bitwarden CLI 进行密钥注入和部署,任何运行过被入侵版本的流程都可能泄露高价值的钱包密钥和交易所 API 凭证。
受影响用户的紧急应对步骤
仅在 4 月 22 日美东时间 5:57 至 7:30 窗口内通过 npm 安装 2026.4.0 版本的用户需采取以下行动:立即卸载 2026.4.0 版本;清理 npm 缓存;轮换所有 API Token 和 SSH 金钥等敏感凭证;检查 GitHub 和 CI/CD 流程的异常活动;升级至已修复的 2026.4.1 版本(或降级至 2026.3.0,或从 Bitwarden 官网下载官方签署的二进制文件)。
攻击背景:npm 可信发布机制首次遭利用
安全研究员 Adnan Khan 指出,此次攻击是已知首次利用 npm 可信发布机制入侵软件包的案例。此次攻击与 TeamPCP 供应链攻击活动有关,自 2026 年 3 月以来,TeamPCP 已对安全工具 Trivy、代码安全平台 Checkmarx 和 AI 工具 LiteLLM 发动了类似攻击,目标是嵌入在 CI/CD 构建流程中的开发者工具。
常见问题
如何确认自己是否安装了受影响的 2026.4.0 版本?
可运行 npm list -g @bitwarden/cli 查看已安装的版本。若显示 2026.4.0 且安装时间在 4 月 22 日美东时间 5:57 至 7:30 之间,需立即采取应对措施。即使不确定安装时间,也建议主动轮换所有相关凭证。
Bitwarden 的密码金库数据是否泄露?
没有。Bitwarden 官方确认,用戶密码金库数据和生产系统均未受到损害。此次攻击仅影响 CLI 的构建过程,攻击目标是开发者凭证和加密钱包文件,而非 Bitwarden 平台的用户密码数据库。
TeamPCP 供应链攻击活动的更广泛背景是什么?
TeamPCP 自 2026 年 3 月起针对开发者工具发动了系列供应链攻击,受害目标包括 Trivy、Checkmarx 和 LiteLLM。此次对 Bitwarden CLI 的攻击是同一系列活动的一部分,目标是嵌入在 CI/CD 构建流程中的开发者工具,以在自动化管道中窃取高价值凭证。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Zondacrypto交易所遭3.5亿美元挪用指控,执行长公开否认
波兰最大的加密货币交易所之一 Zondacrypto 的执行长普热米斯瓦夫·克拉尔(Przemysław Kral)于 4 月 16 日在社交媒体上公开声明,该交易所无法存取一个持有 4,503 枚比特币的钱包,现值逾 3.5 亿美元。克拉尔公布了涉事钱包地址以否认挪用指控,但此一披露随即引发大规模提现。
Market Whisper1小时前
摩根大通:KelpDAO 漏洞抹去 200 亿 DeFi TVL,机构吸引力受损
由分析师 Nikolaos Panigirtzoglou 领衔的摩根大通研究团队,于 4 月 23 日发布报告指出,持续存在的安全漏洞与停滞不前的总锁定价值(TVL)正在削弱去中心化金融(DeFi)对机构投资者的吸引力。报告强调,KelpDAO 漏洞在数日内抹去约 200 亿美元的 DeFi TVL,暴露出结构性风险。
Market Whisper2小时前
SlowMist 警报:朝鲜黑客组织招募诱骗 Web3 开发者,3 个月窃取 1200 万
安全机构慢雾发布紧急预警,北韩 Lazarus 组织旗下子组织 HexagonalRodent 正针对 Web3 开发者发动攻击,透过高薪远程岗位等社交工程手段,诱导开发者执行包含恶意软件后门的技能评估代码,最终窃取加密资产。根据 Expel 调查报告,2026 年前三个季度,损失金额达 1,200 万美元。
Market Whisper2小时前
CoW DAO 提议补偿 cow.fi 域名劫持受害者,最高 100% 赔付损失
CoW DAO 于 4 月 23 日在治理论坛发布补偿提案(CIP),提议设立酌情补助计划,为 4 月 14 日 cow.fi 域名劫持事件的受害者提供最高 100% 的损失补偿。事件估计造成用户损失约 120 万美元 USDC,CoW DAO 强调,补偿属于自愿发放的特惠性质,不代表承认任何法律责任。
Market Whisper2小时前
CryptoQuant:KelpDAO 泄露漏洞引爆 2024 年以来最严重危机,Aave TVL 暴跌 33%
根据 CryptoQuant 在 4 月 23 日评估,上周发生的 KelpDAO 漏洞攻击,在 72 小时内使 Aave 面临 1.24 亿至 2.3 亿美元的潜在坏账风险,TVL 暴跌 33%,USDT 和 USDC 借款利率从 3.4% 飙升至 14%,ETH 借款利率升至 2024 年 1 月以来最高水平 8%。
Market Whisper2小时前
朝鲜 APT 组织 HexagonalRodent 使用 AI 驱动的攻击从 Web3 开发者处窃取 $12M (加密货币)
Gate News 消息,4月24日——根据网络安全公司 Expel 的说法,一个被称为 HexagonalRodent 的朝鲜国家资助 APT 组织在 2026 年第一季度从 Web3 开发者手中窃取了超过 $12 百万美元的加密货币和 NFT。该组织攻破了 2,726 台开发者设备,并获得了对 26,584 个加密钱包的访问权限.
GateNews3小时前
