Русский

Атака на цепочку поставок через Bitwarden CLI подвергает риску ключи криптокошельков

  • Bitwarden CLI версии 2026.4.0 использовали для кражи криптоключей и секретов CI/CD.
  • Вредоносное ПО нацелено на данные кошельков, SSH-ключи и переменные окружения.
  • Socket рекомендует пользователям заменить все ключи и пароли, попавшие в пакет с компрометацией.
Promo

Злоумышленники взломали CLI-версию Bitwarden 2026.4.0 через скомпрометированный GitHub Action, опубликовав вредоносный npm-пакет, который крадет данные криптокошельков и учетные данные разработчиков.

Эксперты по кибербезопасности из Socket обнаружили взлом 23 апреля и связали его с продолжающейся кампанией TeamPCP, нацеленной на атаки через цепочку поставок ПО. Вредоносную версию npm уже удалили из каталога.

Малварь собирает данные криптовалютных кошельков и секреты из CI/CD

Вредоносный код был внедрен в файл bw1.js – его запуск происходил во время установки пакета. Скрипт собирал токены GitHub и npm, SSH-ключи, переменные окружения, историю командной строки и данные для доступа к облачным сервисам.

Спонсорский материал
Спонсорский материал

Известно, что атаки TeamPCP нацелены и на криптокошельки — в том числе на файлы MetaMask, Phantom и Solana.

По данным JFrog, украденная информация передавалась на домены, которые контролируют злоумышленники, а еще злоумышленники коммитили ее обратно в репозитории GitHub — для закрепления в системе.

Многие крипто-команды применяют Bitwarden CLI в автоматизированных CI/CD пайплайнах для подгрузки секретов и развертывания проектов. При использовании скомпрометированной версии могли утечь ценные приватные ключи и API-ключи от бирж.

Исследователь безопасности Аднан Хан отметил — это первый известный взлом пакета через механизм доверенной публикации npm, который должен был полностью избавить проекты от использования долго живущих токенов.

Что делать пользователям, которых затронула атака

В Socket рекомендуют всем, кто установил @bitwarden/cli версии 2026.4.0, немедленно изменить все скомпрометированные секреты.

Безопаснее всего откатиться на версию 2026.3.0 или перейти на официальные подписанные бинарные файлы с сайта Bitwarden.

TeamPCP с марта 2026 года проводит аналогичные атаки на инструменты для разработчиков – Trivy, Checkmarx и LiteLLM, которые интегрированы глубоко в процессы сборки проектов.

Основное хранилище Bitwarden не пострадало — атака затронула только процесс сборки CLI-версии.


Чтобы прочитать свежую аналитику криптовалютного рынка от BeInCrypto, нажмите здесь.

Отказ от ответственности

BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.

Спонсорский материал
Спонсорский материал