Bitwarden CLI npm 包遭供应链攻击:影响约 1.5 小时,可窃取开发者凭证

4 月 24 日

Bitwarden CLI 的 npm 包遭供应链攻击,恶意版本 2026.4.0 用于窃取开发者 npm 令牌、SSH 密钥及云凭证等。攻击于美国东部时间 2026 年 4 月 22 日 17 点 57 分开始,持续约 1 个半小时,恶意包于 22 日 19 点 30 分删除。恶意包通过 bw_setup.js 加载器检测并利用 Bun Runtime 执行 bw1.js 脚本窃取数据,还具备自传播功能,窃取的数据加密后上传至受害者公开 GitHub 仓库。此次攻击被归因于 TeamPCP,其利用受损工具注入恶意代码。Bitwarden 声明用户保险库数据未受影响,已撤销受损权限并弃用恶意版本,安全机构建议受影响开发者立即轮换 CI / CD 流水线及云环境凭证。

链接
⚠️重要安全提醒:开源密码管理器 Bitwarden CLI 命令行工具遭到供应链攻击
蓝点网
链接
密码管理器 Bitwarden 发布 CLI 软件包被黑公告 持续时间 1 小时 33 分钟
蓝点网
链接
Bitwarden CLI npm 包遭供应链攻击:影响约 1.5 小时,可窃取开发者凭证
IT 之家
专业版功能专业版功能
登录
体验专业版特色功能,拓展更丰富、更全面的相关内容。
科技新闻,每天 3 分钟