มุ่งกองข้อมูลข่าวสารความปลอดภัยของ Mist ชั้นนำ 23pds ส่งต่อคำเตือนจากทีมความปลอดภัยของ Bitwarden: เวอร์ชัน Bitwarden CLI 2026.4.0 เคยถูกถอนออกแล้ว ภายในช่วง 1.5 ชั่วโมง ตั้งแต่เวลา 5:57 ถึง 7:30 น. ตามเวลามาตรฐานตะวันออกของสหรัฐฯ ในวันที่ 22 เมษายน มีการเผยแพร่แพ็กเกจที่เป็นอันตรายผ่าน npm เวอร์ชันที่ถูกดัดแปลง และ Bitwarden ได้ยืนยันอย่างเป็นทางการว่า ข้อมูลของ Vault และระบบการผลิตไม่ได้รับผลกระทบ
รายละเอียดการโจมตี:เป้าหมายการขโมยของเพย์โหลดที่เป็นอันตราย bw1.js
เพย์โหลดที่เป็นอันตรายทำงานอย่างเงียบ ๆ ระหว่างการติดตั้งแพ็กเกจ npm และรวบรวมข้อมูลประเภทต่อไปนี้:
· GitHub และ npm Token
· กุญแจ SSH
· ตัวแปรสภาพแวดล้อม
· ประวัติคำสั่งของ Shell
· ข้อมูลรับรองของคลาวด์
· เอกสารกระเป๋าเงินเข้ารหัส (รวมถึง MetaMask, Phantom และกระเป๋าเงินของ Solana)
ข้อมูลที่ถูกขโมยถูกส่งไปยังโดเมนที่ผู้โจมตีกำหนด และถูกส่งไปยังคลัง GitHub พร้อมกลไกการคงอยู่ในระยะยาว มีทีมสกุลเงินดิจิทัลจำนวนมากที่ใช้ Bitwarden CLI ในกระบวนการทำงานอัตโนมัติ CI/CD เพื่อฉีดคีย์และปรับใช้ หากมีการรันกระบวนการที่ใช้เวอร์ชันที่ถูกบุกรุก อาจทำให้เกิดการรั่วไหลของคีย์กระเป๋าเงินที่มีมูลค่าสูงและข้อมูลรับรอง API ของตลาดแลกเปลี่ยน
ขั้นตอนเร่งด่วนสำหรับผู้ใช้ที่ได้รับผลกระทบ
ผู้ใช้ที่ติดตั้งเวอร์ชัน 2026.4.0 ผ่าน npm เฉพาะในหน้าต่างเวลาตั้งแต่ 5:57 ถึง 7:30 น. ตามเวลามาตรฐานตะวันออกของสหรัฐฯ วันที่ 22 เมษายน จำเป็นต้องดำเนินการดังต่อไปนี้: ถอนการติดตั้งทันทีเวอร์ชัน 2026.4.0; ล้างแคชของ npm; หมุนเวียนข้อมูลรับรองที่ละเอียดอ่อนทั้งหมด เช่น API Token และกุญแจ SSH; ตรวจสอบกิจกรรมที่ผิดปกติในกระบวนการ GitHub และ CI/CD; อัปเกรดเป็นเวอร์ชัน 2026.4.1 ที่ได้รับการแก้ไขแล้ว (หรือดาวน์เกรดเป็น 2026.3.0 หรือดาวน์โหลดไฟล์ไบนารีที่ลงนามอย่างเป็นทางการจากเว็บไซต์ทางการของ Bitwarden)
พื้นหลังการโจมตี:กลไกการเผยแพร่ที่เชื่อถือได้ของ npm ถูกนำมาใช้โจมตีเป็นครั้งแรก
นักวิจัยด้านความปลอดภัย Adnan Khan ระบุว่า การโจมตีครั้งนี้เป็นกรณีการถูกนำไปใช้โจมตี “เป็นครั้งแรกที่รู้จัก” ต่อกลไกการเผยแพร่ที่เชื่อถือได้ของ npm เพื่อบุกรุกแพ็กเกจซอฟต์แวร์ การโจมตีครั้งนี้เกี่ยวข้องกับกิจกรรมการโจมตีห่วงโซ่อุปทานของ TeamPCP ตั้งแต่เดือนมีนาคม 2026 เป็นต้นมา TeamPCP ได้ทำการโจมตีลักษณะเดียวกันต่อเครื่องมือความปลอดภัย Trivy แพลตฟอร์มความปลอดภัยของโค้ด Checkmarx และเครื่องมือ AI LiteLLM โดยมีเป้าหมายเพื่อฝังเครื่องมือสำหรับนักพัฒนาไว้ในกระบวนการสร้างของ CI/CD
คำถามที่พบบ่อย
จะยืนยันได้อย่างไรว่าได้ติดตั้งเวอร์ชัน 2026.4.0 ที่ได้รับผลกระทบหรือไม่?
สามารถเรียกดูเวอร์ชันที่ติดตั้งโดยใช้ npm list -g @bitwarden/cli หากแสดง 2026.4.0 และเวลาในการติดตั้งอยู่ระหว่าง 5:57 ถึง 7:30 น. ตามเวลามาตรฐานตะวันออกของสหรัฐฯ ในวันที่ 22 เมษายน จำเป็นต้องดำเนินการรับมือทันที แม้จะไม่แน่ใจเวลาในการติดตั้ง ก็ยังแนะนำให้หมุนเวียนข้อมูลรับรองทั้งหมดที่เกี่ยวข้องอย่างเชิงรุก
ข้อมูลของ Bitwarden Vault ถูกขโมยหรือไม่?
ไม่ Bitwarden ได้ยืนยันอย่างเป็นทางการว่า ข้อมูลของผู้ใช้ในรหัสผ่าน Vault และระบบการผลิตไม่ได้ถูกทำลาย การโจมตีครั้งนี้กระทบเพียงขั้นตอนการสร้างของ CLI โดยเป้าหมายคือข้อมูลรับรองของนักพัฒนาและเอกสารกระเป๋าเงินเข้ารหัส ไม่ใช่ฐานข้อมูลรหัสผ่านของผู้ใช้บนแพลตฟอร์ม Bitwarden
พื้นหลังที่กว้างขึ้นของกิจกรรมการโจมตีห่วงโซ่อุปทานของ TeamPCP คืออะไร?
ตั้งแต่เดือนมีนาคม 2026 เป็นต้นมา TeamPCP ได้เริ่มโจมตีห่วงโซ่อุปทานต่อชุดเครื่องมือสำหรับนักพัฒนาถือเป็นชุด โดยเป้าหมายที่ได้รับความเสียหายรวมถึง Trivy, Checkmarx และ LiteLLM การโจมตีต่อ Bitwarden CLI ในครั้งนี้เป็นส่วนหนึ่งของกิจกรรมชุดเดียวกัน โดยมีเป้าหมายในการฝังเครื่องมือสำหรับนักพัฒนาไว้ในกระบวนการสร้างของ CI/CD เพื่อขโมยข้อมูลรับรองที่มีมูลค่าสูงในท่ออัตโนมัติ
