Yummy 😋

根据 JFrog 和 Socket 的最新发现，Bitwarden 的命令行工具（CLI）在一起新发现且仍在进行的 Checkmarx 供应链攻击中被入侵。

应用安全公司表示，受影响的软件包版本似乎为 @bitwarden/cli@2026.4.0，恶意代码出现在包含在包内的名为“bw1.js”的文件中。

这次攻击似乎利用了 Bitwarden CI/CD 管道中被入侵的 GitHub Action，行为模式与本次活动中其他受影响的代码仓库相同。

在 X 上的一篇帖子中，JFrog 表示该恶意版本的软件“会窃取 GitHub/npm 的令牌、.ssh 文件、.env 文件、历史命令记录、GitHub Actions 和云密钥，然后将数据泄露到私有域名以及 GitHub 的提交记录中。”

虽然现在已经无法从 npm 下载到该恶意版本，但 Socket 表示这次入侵使用的仍是与 Checkmarx 活动中发现的相同的 GitHub Actions 供应链攻击手法。

在这次攻击中，威胁方利用被盗的 GitHub 令牌注入了一个新的 GitHub Actions 工作流程。该工作流程会窃取运行期间可用的密钥和凭证，并用获取到的 npm 凭证将被篡改的恶意版本包发布到 npm，从而把恶意软件传播给下游用户。

安全研究员阿德南·汗表示，攻击者利用一个恶意的工作流发布了带有恶意代码的 Bitwarden CLI。他补充道：“我认为这是首次出现利用 NPM 的受信任发布机制来入侵软件包的情况。”

据推测，名为“TeamPCP”的攻击者是此次针对 Checkmarx 发起的最新攻击的幕后黑手。截至本文撰写之时，“TeamPCP”的 X 账号因违反平台规则已被暂停使用。

OX 安全公司在对此次攻击的详细分析中表示，他们在该包裹中发现了“Shai-Hulud: The Third Coming”这一字符串，这表明这很可能就是去年曝光的供应链攻击行动的下一阶段。

🗒 标签: #Bitwarden #供应链攻击
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot