Что произошло: компрометация Bitwarden CLI
Злоумышленники успешно внедрили вредоносный код в версию 2026.4.0 командной строки (CLI) популярного менеджера паролей Bitwarden. Атака, выявленная 23 апреля специалистами по кибербезопасности из Socket, использовала скомпрометированный GitHub Action и распространялась через вредоносный npm-пакет. Основной целью хакеров являлась кража конфиденциальных данных, включая ключи от криптовалютных кошельков, приватные SSH-ключи и секреты систем непрерывной интеграции/непрерывной поставки (CI/CD).
Вредоносный скрипт, интегрированный в файл bw1.js, активировался при установке пакета. Его функционал был направлен на поиск и извлечение критически важных данных: приватных ключей криптокошельков, seed-фраз, а также данных расширений браузерных кошельков, таких как MetaMask. Помимо этого, скрипт собирал токены GitHub и npm, переменные окружения и учетные данные облачных сервисов. Похищенная информация отправлялась на контролируемые злоумышленниками домены и сохранялась в репозиториях GitHub, что позволяло хакерам закрепиться в скомпрометированных системах.
Контекст атаки: кампания TeamPCP
Эта атака является частью более широкой кампании, приписываемой группировке TeamPCP, которая активно действует с марта 2024 года. Ранее TeamPCP уже проводила аналогичные атаки на цепочки поставок, нацеленные на такие инструменты разработчиков, как Trivy, Checkmarx и LiteLLM. Эти инциденты подчеркивают растущую угрозу для инфраструктуры разработки программного обеспечения, где компрометация одного компонента может привести к масштабным последствиям для конечных пользователей.
Важно отметить, что сама по себе основная инфраструктура Bitwarden не была скомпрометирована. Атака затронула исключительно процесс сборки CLI-версии менеджера паролей, что привело к распространению вредоносной версии через публичный npm-репозиторий. Поддельная npm-версия была оперативно удалена после обнаружения.
Реакция рынка и рекомендации
Многие криптопроекты и компании активно используют Bitwarden CLI для автоматизации процессов внедрения секретов и развертывания через CI/CD пайплайны. Любое использование скомпрометированной версии могло предоставить злоумышленникам доступ к критически важным ключам кошельков, API-ключам бирж и другим учетным данным, что представляет серьезную угрозу для финансовой безопасности и целостности проектов.
«Это первый известный случай атаки через пакет, выпущенный с использованием доверенного механизма публикации npm», — отметил эксперт по безопасности Аднан Хан.
Это подчеркивает новую изощренность методов злоумышленников, которые теперь используют легитимные каналы распространения для своих вредоносных целей.
Что это значит для пользователей из РФ/СНГ и майнеров
Всем пользователям, установившим @bitwarden/cli версии 2026.4.0, настоятельно рекомендуется немедленно предпринять следующие шаги: во-первых, обновить программное обеспечение до безопасной версии (например, 2026.3.0 или более поздней официальной сборки с сайта Bitwarden). Во-вторых, и это критически важно, необходимо немедленно сменить все скомпрометированные секреты: пароли, ключи криптовалютных кошельков, SSH-ключи, API-ключи бирж и любые другие учетные данные, которые могли быть использованы в процессах, где применялась уязвимая версия CLI.
Для майнеров, использующих автоматизированные системы или скрипты для управления своими фермами, где могли быть задействованы Bitwarden CLI для хранения и доступа к ключам API пулов или кошельков, риск особенно высок. Рекомендуется не только сменить все ключи, но и провести аудит всех систем, взаимодействующих с Bitwarden CLI, на предмет возможного несанкционированного доступа. Всегда используйте только официальные дистрибутивы программного обеспечения и регулярно проверяйте их целостность.
Комментарии
0