Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Компромитиран Bitwarden CLI во тековната supply chain кампања поврзана со Checkmarx

Објавено: 24.04.2026

Bitwarden CLI е компромитиран како дел од новооткриената и тековна supply chain кампања поврзана со Checkmarx, според најновите наоди од JFrog и Socket.

„Засегнатата верзија на пакетот се чини дека е @bitwarden/cli@2026.4.0, а малициозниот код е објавен во ‘bw1.js’, датотека вклучена во содржината на пакетот“, соопшти компанијата за безбедност на апликации.

„Нападот најверојатно искористил компромитирана GitHub Action во CI/CD pipeline-от на Bitwarden, што е во согласност со моделот забележан кај други погодени репозиториуми во оваа кампања.“

Во објава на X, JFrog наведе дека злонамерната верзија на пакетот „краде GitHub/npm токени, .ssh, .env, историја од shell, GitHub Actions и cloud тајни, а потоа ги испраќа податоците кон приватни домени и преку GitHub commits.“

Конкретно, малициозниот код се извршува преку preinstall hook, што резултира со кражба на локални, CI, GitHub и cloud тајни. Податоците се испраќаат кон доменот „audit.checkmarx[.]cx“ и кон GitHub репозиториум како резервна опција доколку примарниот метод не успее.

Целиот процес вклучува:

  • Активирање на алатка за кражба на креденцијали насочена кон developer тајни, GitHub Actions околини и конфигурации на AI алатки за кодирање, вклучувајќи Claude, Kiro, Cursor, Codex CLI и Aider.
  • Криптирање на украдените податоци со AES-256-GCM и нивно испраќање кон audit.checkmarx[.]cx, домен што се претставува како Checkmarx.
  • Доколку се пронајдат GitHub токени, малициозниот софтвер ги злоупотребува за вметнување злонамерни Actions workflow-и во репозиториуми и извлекување CI/CD тајни.

„Еден единствен developer со инсталирана верзија @bitwarden/cli@2026.4.0 може да стане почетна точка за поширока компромитација на supply chain, при што напаѓачот добива постојан пристап за вметнување workflow-и во секој CI/CD pipeline до кој токенот на developer-от има пристап“, соопшти StepSecurity.

Иако злонамерната верзија повеќе не е достапна за преземање од npm, Socket посочи дека компромитацијата го следи истиот supply chain вектор преку GitHub Actions идентификуван во кампањата поврзана со Checkmarx.

Како дел од оваа операција, напаѓачите злоупотребуваат украдени GitHub токени за да вметнат нов GitHub Actions workflow што ги собира тајните достапни во текот на извршувањето, а потоа користат украдени npm креденцијали за да објават малициозни верзии на пакетите и да го прошират нападот кон downstream корисници.

Според безбедносниот истражувач Аднан Кан, напаѓачот користел злонамерен workflow за да ја објави компромитираната верзија на Bitwarden CLI. „Верувам дека ова е првпат пакет кој користи NPM trusted publishing да биде компромитиран“, додаде Кан.

Синџир на напад на Bitwarden CLI | Извор: OX Security

Се сомнева дека заканувачкиот актер познат како TeamPCP стои зад најновиот напад насочен кон Checkmarx. Во моментот на пишување, X профилот на TeamPCP е суспендиран поради прекршување на правилата на платформата.

OX Security, во својата анализа на нападот, соопшти дека го идентификувал стрингот „Shai-Hulud: The Third Coming“ во пакетот, што сугерира дека ова најверојатно е следната фаза од supply chain кампањата која беше откриена минатата година.

Референца на „Shai-Hulud: The Third Coming“

„Најновиот инцидент со Shai Hulud е само последниот во долг синџир на закани насочени кон програмери ширум светот. Податоците на корисниците јавно се изнесуваат на GitHub, често без да бидат откриени, бидејќи безбедносните алатки обично не означуваат податоци испратени таму како сомнителни“, изјави Моше Симан Тов Бустан, раководител на тимот за безбедносни истражувања во OX Security.

„Ова го прави ризикот значително поопасен: секој што пребарува на GitHub потенцијално може да ги најде и пристапи до тие креденцијали. Во тој момент, чувствителните податоци повеќе не се во рацете на еден напаѓач – туку се изложени на секого.“

Како и во случајот со инцидентот со Checkmarx, украдените податоци се изнесуваат во јавни репозиториуми креирани под сметки на жртвите, користејќи шема на именување инспирирана од Dune во формат „<збор>-<збор>-<3 цифри>“. Но, во интересен пресврт, малициозниот софтвер е дизајниран да престане со извршување ако системот има локализација поставена на Русија.

„Споделените алатки силно укажуваат на поврзаност со истиот екосистем на малициозен софтвер, но оперативните потписи се разликуваат на начин што ја отежнува атрибуцијата“, соопшти Socket. „Ова укажува или на различен оператор кој користи иста инфраструктура, или на одвоена група со посилни идеолошки мотиви, или на еволуција во јавниот настап на кампањата.“

Во изјава за медиумите, Bitwarden го потврди инцидентот и наведе дека тој произлегува од компромитација на неговиот npm механизам за дистрибуција поради supply chain нападот поврзан со Checkmarx, но нагласи дека не се пристапило до податоци на крајни корисници.

Тимот за безбедност на Bitwarden идентификувал и ограничил малициозен пакет кој бил кратко време достапен преку npm за @bitwarden/cli@2026.4.0 помеѓу 17:57 и 19:30 часот (ET) на 22 април 2026 година, како дел од поширокиот инцидент.

Истрагата не пронашла докази дека податоците од корисничките „vault“ се компромитирани, ниту дека продукциските системи или податоци биле засегнати. По откривањето, компромитираниот пристап бил укинат, малициозната верзија отстранета, и веднаш биле преземени мерки за санација.

Инцидентот влијаел само на npm дистрибуцијата на CLI алатката во тој краток временски период, а не на интегритетот на легитимниот код или складираните податоци.

Корисниците кои не го презеле пакетот во тој период не се засегнати. Bitwarden извршил дополнителна ревизија на внатрешните системи и не се идентификувани други компромитирани околини. За овој инцидент ќе биде издаден и CVE за верзијата 2026.4.0.

Според анализа од Endor Labs, GitHub репозиториумот на Bitwarden користи „checkmarx/ast-github-action“, што е еден од компромитираните елементи во оваа кампања. Компанијата го опиша малициозниот Bitwarden CLI како еден од „најнапредните npm supply chain payload-и“ досега.

„Овој малициозен код комбинира повеќе напредни техники: собирање креденцијали од повеќе cloud околини, самораспространувачки npm „worm“ кој повторно инфицира пакети, GitHub commit канал за команда и контрола со RSA потпис, енкриптирана ексфилтрација отпорна на отстранување, постојаност преку shell конфигурации и дури модул насочен кон AI алатки за кодирање“, изјави истражувачот Киран Рај.

Дополнителни анализи на нападот објавија компании како Aikido Security, GitGuardian, Mend.io и SafeDep.

„Секој payload – од CanisterSprawl worm, до тројанизираниот KICS скенер и xinference крадецот – има една цел: извлекување креденцијали од околините каде работат програмерите и CI/CD pipeline-ите“, соопшти GitGuardian. „Прашањето што секој тим треба да си го постави не е само ‘дали овој пакет се извршил во нашата околина?’, туку: кои тајни биле достапни ако се извршил – и дали тие се сменети?“

Извори:

  • The Hacker News – Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain Campaign The Hacker News