Атака на цепочку поставок Bitwarden CLI подвергает риску ключи криптокошельков
Злоумышленники взломали версию CLI менеджера паролей Bitwarden 2026.4.0 через зараженную GitHub Action и опубликовали вредоносный npm-пакет, который активно похищает данные криптокошельков и учетные данные разработчиков.
Специалисты по безопасности из Socket выявили взлом 23 апреля и связали его с продолжающейся атакой TeamPCP на цепочку поставок. Поддельную npm-версию уже удалили.
Вредоносное ПО охотится за криптокошельками и секретами CI/CD
Вредоносный скрипт, встроенный в файл bw1.js, запускался при установке пакета и специально искал файлы криптокошельков, приватные ключи, seed-фразы и данные расширений браузера для кошельков вроде MetaMask. Кроме этого, скрипт похищал токены GitHub и npm, SSH-ключи, переменные окружения и облачные учетные данные.
По данным JFrog, собранные данные отправлялись на домены, контролируемые злоумышленниками, а также сохранялись обратно в репозитории GitHub как способ закрепиться в системе — механизм сохранения доступа.
Многие крипто-команды используют Bitwarden CLI для автоматизации инъекции секретов и развертывания через CI/CD-пайплайны. Любые процессы, где применяли скомпрометированную версию, могли позволить злоумышленникам получить доступ к критически важным ключам кошельков и API-ключам бирж — учетным данным.
Эксперт по безопасности Аднан Хан отметил, что это первый известный случай атаки через пакет, выпущенный с использованием доверенного механизма публикации npm, который изначально был создан, чтобы устранить длинноживущие токены — publishing.
Что предпринять пострадавшим пользователям
Socket рекомендует всем, кто установил @bitwarden/cli версии 2026.4.0, немедленно изменить все утекшие секреты. Пользователям следует перейти на версию 2026.3.0 или использовать только официальные подписанные сборки с сайта Bitwarden.
С марта 2026 года TeamPCP организовала похожие атаки против Trivy, Checkmarx и LiteLLM, нацелившись на инструменты разработчиков, которые используются глубоко внутри сборочных цепочек. Ядро хранилища Bitwarden не пострадало — взлом коснулся только процесса сборки CLI-версии менеджера паролей — compromised.
The post Атака на цепочку поставок Bitwarden CLI подвергает риску ключи криптокошельков appeared first on BeInCrypto.