Обнаружен вредоносный npm-пакет в Bitwarden CLI, криптокошельки сталкиваются с риском кражи

Глава отдела информации по кибербезопасности компании Мувуй (SlowMist) передал предупреждение от команды безопасности Bitwarden: версия Bitwarden CLI 2026.4.0, которая за 1,5 часа с 5:57 до 7:30 по восточному времени в США 22 апреля через npm распространяла взломанную версию с вредоносным пакетом, была отозвана; Bitwarden официально подтвердила, что данные хранилища паролей и производственные системы не пострадали.

Подробности атаки: цель кражи вредоносной загрузки bw1.js

Вредоносная загрузка тихо запускается во время установки пакета из npm и собирает следующие типы данных:

· GitHub и npm Token

· SSH-ключи

· переменные окружения

· история команд Shell

· облачные учетные данные

· файлы зашифрованных кошельков (включая кошельки MetaMask, Phantom и Solana)

Украденные данные выгружаются на домены, контролируемые злоумышленниками, и отправляются в репозиторий GitHub с использованием механизма персистентности. Многие команды криптовалют используют Bitwarden CLI в процессах CI/CD автоматизации для внедрения ключей и развертывания; любой процесс, который запускал версию, подвергшуюся компрометации, может привести к утечке ценных ключей кошельков и API-учетных данных бирж.

Срочные шаги реагирования для затронутых пользователей

Пользователям, которые в окне с 5:57 до 7:30 по восточному времени США 22 апреля установили через npm версию 2026.4.0, необходимо выполнить следующие действия: немедленно удалить версию 2026.4.0; очистить кэш npm; выполнить ротацию всех чувствительных учетных данных, включая все API Token и SSH-ключи; проверить на аномальную активность в GitHub и в процессах CI/CD; выполнить обновление до исправленной версии 2026.4.1 (или выполнить даунгрейд до 2026.3.0, или загрузить с официального сайта Bitwarden официальные подписанные двоичные файлы).

Контекст атаки: впервые использован механизм доверенной публикации npm

Исследователь безопасности Adnan Khan указал, что эта атака — пример известного первого использования механизма доверенной публикации npm для взлома программных пакетов. Эта атака связана с активностью поставщикской цепочки атак TeamPCP: начиная с марта 2026 года TeamPCP провела аналогичные атаки против средств безопасности Trivy, платформы безопасности кода Checkmarx и инструмента ИИ LiteLLM, цель — встраивание инструментов разработчика в процессы сборки CI/CD.

Часто задаваемые вопросы

Как подтвердить, установлена ли у меня затронутая версия 2026.4.0?

Можно выполнить команду npm list -g @bitwarden/cli, чтобы проверить установленные версии. Если отображается 2026.4.0 и время установки попадает в период с 5:57 до 7:30 по восточному времени США 22 апреля, нужно немедленно предпринять меры реагирования. Даже если вы не уверены во времени установки, рекомендуется самостоятельно выполнить ротацию всех соответствующих учетных данных.

Данные хранилища паролей Bitwarden были ли раскрыты?

Нет. Bitwarden официально подтвердила, что данные хранилища паролей пользователей и производственные системы не были затронуты. Эта атака повлияла только на процесс сборки CLI; целью атаки были учетные данные разработчиков и файлы зашифрованных кошельков, а не пользовательская база данных с паролями платформы Bitwarden.

Каков более широкий контекст поставщикской цепочки атак TeamPCP?

Начиная с марта 2026 года TeamPCP запустила серию атак на инструменты разработчика; среди пострадавших целей — Trivy, Checkmarx и LiteLLM. Атака на Bitwarden CLI является частью той же серии активностей: цель — встроить инструменты разработчика в процессы сборки CI/CD, чтобы в автоматизированных конвейерах похищать ценные учетные данные.