ムアン・ウー首席情報セキュリティ責任者がBitwardenセキュリティチームの警告を転送。Bitwarden CLIの2026.4.0バージョンは4月22日米東部時間午後5:57から7:30の1.5時間の間に、npm経由で悪意のあるパッケージが改ざんして公開されたnpmバージョンであるとして撤回済み。Bitwarden公式は、パスワード保管庫データおよび本番システムへの影響はないことを確認した。

攻撃の詳細：bw1.jsの悪意あるペイロードが狙う窃取対象

悪意あるペイロードは、npmパッケージのインストール期間中に無音で実行され、以下の種類のデータを収集します：

· GitHubおよびnpmトークン

· SSH鍵

· 環境変数

· シェルの履歴

· クラウドの認証情報

· 暗号ウォレットのドキュメント（MetaMask、Phantom、Solanaウォレットを含む）

盗まれたデータは、攻撃者が管理するドメインへ漏えいされ、かつ永続化メカニズムによってGitHubリポジトリへ提出（コミット）されます。多くの暗号通貨チームはCI/CDの自動化プロセスでBitwarden CLIを使って鍵の注入とデプロイを行っており、侵害されたバージョンを実行したプロセスは、高価値のウォレット鍵や取引所APIの認証情報が漏えいする可能性があります。

影響を受けたユーザーの緊急対応手順

4月22日米東部時間5:57から7:30の間のウィンドウ内に、npm経由で2026.4.0バージョンをインストールしたユーザーのみが、以下の対応を取る必要があります：直ちに2026.4.0バージョンをアンインストールする；npmキャッシュを消去する；すべてのAPIトークンやSSH鍵などの機密認証情報をローテーションする；GitHubおよびCI/CDプロセスの異常な活動を確認する；修正済みの2026.4.1バージョンへアップグレードする（または2026.3.0へダウングレードする、あるいはBitwarden公式サイトから公式の署名済みバイナリをダウンロードする）。

攻撃の背景：npmの信頼された公開メカニズムが初めて悪用された

セキュリティ研究者Adnan Khanによると、今回の攻撃は、既知の中で初めてnpmの信頼された公開メカニズムが悪用されたケースだという。今回の攻撃はTeamPCPのサプライチェーン攻撃活動と関連しており、2026年3月以降、TeamPCPはセキュリティツールTrivy、コードセキュリティプラットフォームCheckmarx、AIツールLiteLLMに対して同様の攻撃を行ってきた。狙いは、CI/CDビルドプロセスに埋め込まれる開発者ツールだ。

よくある質問

自分が影響を受ける2026.4.0バージョンをインストールしたかどうかを確認する方法は？

実行可能なnpm list -g @bitwarden/cliで、インストール済みのバージョンを確認できます。2026.4.0であり、かつインストール時刻が4月22日米東部時間5:57から7:30の間であれば、直ちに対応措置を取ってください。インストール時刻が分からない場合でも、関連するすべての認証情報を能動的にローテーションすることを推奨します。

Bitwardenのパスワード保管庫データは漏えいしましたか？

いいえ。Bitwarden公式は、ユーザーのパスワード保管庫データおよび本番システムはいずれも侵害されていないことを確認しています。今回の攻撃はCLIのビルドプロセスにのみ影響し、攻撃対象は開発者の認証情報と暗号ウォレットのドキュメントであって、Bitwardenプラットフォームのユーザーパスワードデータベースではありません。

TeamPCPのサプライチェーン攻撃活動のより広い背景は何ですか？

TeamPCPは2026年3月以降、開発者ツールに対して一連のサプライチェーン攻撃を行っており、被害対象にはTrivy、Checkmarx、LiteLLMが含まれます。今回のBitwarden CLIへの攻撃は、同じ一連の活動の一部であり、自動化されたパイプライン内で高価値の認証情報を窃取するために、CI/CDのビルドプロセスに埋め込まれた開発者ツールを標的にしています。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

Scallop、sSUI報酬プールの脆弱性を発見、150K SUIの損失が発生するも全額の補償を約束

プロジェクト進捗セキュリティインシデント

Gate Newsメッセージ、4月26日――Suiエコシステムにおける貸出プロトコルのScallopは、自社のsSUI報酬プールに関連する補助コントラクトで脆弱性が発見されたことを発表し、その結果、約150,000 SUIの損失が発生した。影響を受けたコントラクトは凍結されており、Scallopは、コアとなるコントラクトは引き続き安全であり、影響を受けているのはsSUI報酬プールのみであることを確認した

GateNews1時間前

ライトコイン、MWEBプライバシーレイヤーのゼロデイ脆弱性悪用後に深いチェーン再編を実施

毎日暗号資産ニュース価格ボラティリティ執行措置セキュリティインシデントオンチェーンデータ

ゲート・ニュース、4月26日 — ライトコインは土曜日に深いチェーンの再編（reorganization）を経験した。これは、攻撃者がMimbleWimble Extension Block (MWEB) のプライバシーレイヤーにおけるゼロデイ脆弱性を悪用したことによるもので、ライトコイン財団によれば (April 26) のことだった。再編はブロック 3,095,930 から 3,095,943 に及び、

GateNews2時間前

Litecoin 初めてプライバシー層が侵害：MWEB ゼロデイ脆弱性が発動、13 ブロックチェーンが再編

セキュリティインシデント

The Block によると、Litecoin 基金会は MWEB プライバシーレイヤーでゼロデイ脆弱性が悪用されたことを確認した。攻撃者は旧バージョンのノードを利用して、偽造された MWEB 取引が有効であるかのように見せかけ、メインチェーンを13ブロック（約3時間）ロールバックさせた。また、クロスチェーン取引所で二重支払いが行われた。NEAR Intents では約60万ドルが流出し、マイニングプールも DoS を受けた。修正済みバージョンはすでに公開されているため、すぐにアップグレードしてほしい。メインチェーンの残高は影響を受けないが、プライバシーレイヤーが可観測性の低下と検知の難しさの間で迫られるトレードオフが浮き彫りになっている。

ChainNewsAbmedia4時間前

Aave、Kelp、LayerZero Seek $71M Arbitrum DAOから凍結ETHのリリース

ethereum news プロジェクト進捗パートナーシップ・エコシステム規制・政策セキュリティインシデント

Aave Labs、Kelp DAO、LayerZero、EtherFi、およびCompoundは、土曜の朝、Arbitrumフォーラム上で憲法的AIP（AIP）を提出し、先週の$71 million Kelp DAOエクスプロイトに続くrsETH回復の取り組みを支援するため、ネットワークのDAOが約$292 millionの凍結ETHを放出することを求めた。提案は

CryptoFrontier5時間前

MWEB ゼロデイ攻撃の後、ライトコインが深刻なチェーン再編成を受け、3時間分の履歴が消失

執行措置セキュリティインシデントオンチェーンデータ

Gate News メッセージ、4月26日 — ライトコインは、ライトコイン財団によると、土曜日に攻撃者が MimbleWimble Extension Block (MWEB) のプライバシー層にあるゼロデイ脆弱性を悪用したことで、深いチェーンの再編成 (reorg) を経験しました。バグにより、古いソフトウェアを実行しているマイニングノードは

GateNews10時間前

Apecoin Insider Turns $174K Into $2.45M in One Day With 14x Trade on Both Sides of 80% Surge

価格ボラティリティ執行措置セキュリティインシデント

取引履歴のない匿名ウォレットが、たった1日のうちに価格が80%急騰した局面でApecoinを両建て（両側）でトレードし、イーサ（ETH）174,000ドル相当を245万ドルへ変えました。重要なポイント：ウォレット0x0b8aは、ETH174,000ドルをレバレッジをかけたApecoinのロングに変え、最高値近辺で利確して、179万ドルの利益を得ました

Coinpedia11時間前

0/400

コメントなし