Bitwarden CLI 遭受供应链攻击
- 内容介绍
- 文章标签
- 相关推荐
TeamPCP Campaign Spreads to npm via a Hijacked Bitwarden CLI - JFrog Security...
JFrog security researchers identified a hijacked npm package published as @bitwarden/cli version 2026.4.0, impersonating the legitimate Bitwarden command line client.
[!quote]+
JFrog 安全研究人员发现了一个被劫持的 npm 软件包,该软件包以 @bitwarden/cli 2026.4.0 版本发布,冒充合法的 Bitwarden 命令行客户端。该软件包保留了预期的 Bitwarden 元数据,但将预安装和 bw 二进制入口点重新连接到一个自定义加载器 bw_setup.js,而不是合法捆绑的 CLI。如果 bun runtime 尚未存在,加载器会从 GitHub 下载 bun runtime,然后启动一个大型混淆 JavaScript 有效载荷。一旦解密,该有效载荷就会显示针对开发人员工作站和 CI 环境的广泛凭证盗窃操作:GitHub 和 npm 标记、SSH 材料、shell 历史记录、AWS、GCP 和 Azure 秘密、GitHub 操作秘密以及人工智能工具配置文件都是目标。
该有效载荷使用两个外泄渠道。其主要路径是将加密的遥测数据发布到 hxxps[://]audit[.]checkmarx[.]cx/v1/telemetry。如果失败,它会通过检索公共提交消息中的暂存 PAT 和后备路由数据回到 GitHub,然后在受害者账户下创建一个新的 repo,并将加密结果 blob 上传到那里。
TeamPCP Campaign Spreads to npm via a Hijacked Bitwarden CLI - JFrog Security...
JFrog security researchers identified a hijacked npm package published as @bitwarden/cli version 2026.4.0, impersonating the legitimate Bitwarden command line client.
[!quote]+
JFrog 安全研究人员发现了一个被劫持的 npm 软件包,该软件包以 @bitwarden/cli 2026.4.0 版本发布,冒充合法的 Bitwarden 命令行客户端。该软件包保留了预期的 Bitwarden 元数据,但将预安装和 bw 二进制入口点重新连接到一个自定义加载器 bw_setup.js,而不是合法捆绑的 CLI。如果 bun runtime 尚未存在,加载器会从 GitHub 下载 bun runtime,然后启动一个大型混淆 JavaScript 有效载荷。一旦解密,该有效载荷就会显示针对开发人员工作站和 CI 环境的广泛凭证盗窃操作:GitHub 和 npm 标记、SSH 材料、shell 历史记录、AWS、GCP 和 Azure 秘密、GitHub 操作秘密以及人工智能工具配置文件都是目标。
该有效载荷使用两个外泄渠道。其主要路径是将加密的遥测数据发布到 hxxps[://]audit[.]checkmarx[.]cx/v1/telemetry。如果失败,它会通过检索公共提交消息中的暂存 PAT 和后备路由数据回到 GitHub,然后在受害者账户下创建一个新的 repo,并将加密结果 blob 上传到那里。