Bitwarden подтверждает, что кратковременный сбой в работе npm затронул пакет CLI

Главная » Программное обеспечение » Bitwarden подтверждает, что кратковременный сбой в работе npm затронул пакет CLI

24.04.2026

Время чтения: 4 мин.

Bitwarden, сервис для управления паролями с открытым исходным кодом, подтвердил, что его клиент командной строки на короткое время оказался под угрозой из-за компрометации цепочки поставок, связанной с пакетом npm для CLI 2026.4.0.

Служба безопасности выявила и заблокировала вредоносный пакет, распространявшийся через npm для @bitwarden/cli@2026.4.0 в период с 17:57 до 19:30 по восточному времени 22 апреля 2026 года. Этот инцидент был частью масштабной кампании Checkmarx по выявлению уязвимостей в цепочке поставок, нацеленной на рабочие процессы публикации программного обеспечения.

Bitwarden утверждает, что проблема была связана только с механизмом распространения npm для интерфейса командной строки и не затронула официальную кодовую базу интерфейса командной строки или сохраненные данные хранилища. Компания не обнаружила никаких свидетельств доступа конечных пользователей к данным хранилища или компрометации производственных систем или данных.

«В ходе расследования не было обнаружено никаких доказательств того, что кто-то получил доступ к данным хранилища конечных пользователей или что эти данные подвергались риску, а также что производственные данные или производственные системы были скомпрометированы. После обнаружения проблемы доступ был отозван, вредоносная версия npm была объявлена устаревшей, и были немедленно приняты меры по устранению последствий».

Взломанный пакет был доступен менее двух часов и затронул только тех пользователей, которые в этот период установили Bitwarden CLI 2026.4.0 через npm. Bitwarden подтверждает, что пользователи браузерного расширения, настольного приложения, мобильного приложения, сервера или пакета Snap не пострадали.

Читать AerynOS блокирует использование LLM, ссылаясь на данные об этическом обучении и экологических издержках

Исследователи в области безопасности из компании Socket сообщили, что вредоносная программа содержалась в файле с именем bw1.js в пакете npm. Согласно их анализу, этот пакет связан с более масштабной цепочкой поставок, включающей скомпрометированные рабочие процессы GitHub Actions и вредоносное ПО для кражи учетных данных.

Важно отметить, что полезная нагрузка предназначалась для сбора секретов разработчиков и инфраструктуры, а не содержимого хранилища Bitwarden. По данным компании Socket, она была нацелена на токены GitHub, токены npm, SSH-ключи, облачные учетные данные, файлы .npmrc, переменные среды, историю команд, учетные данные Git и секреты CI/CD. Кроме того, она проверяла наличие постоянных данных в файлах профилей оболочки, таких как .bashrc и .zshrc.

Bitwarden отказался от вредоносного выпуска npm, отозвал скомпрометированные доступы и выпустил Bitwarden CLI 2026.4.1.

Пользователям, установившим проблемный пакет npm, следует удалить его, очистить кэш npm, временно отключить скрипты установки npm на время очистки, сменить все потенциально раскрываемые учетные данные, а также проверить активность на GitHub, рабочие процессы непрерывной интеграции и связанные с ними учетные данные на предмет несанкционированных изменений.

Выводы

Инцидент с Bitwarden CLI показал типичный пример современной supply chain атаки, когда злоумышленники на короткое время получают доступ к каналу распространения пакета и внедряют вредоносный код. В данном случае проблема затронула только npm-версию CLI и была оперативно устранена.

Читать Lutris 0.5.18 добавляет тёмную тему по умолчанию и отображение обложек

Ключевые выводы

Компрометация была очень кратковременной — около 1–2 часов распространения вредоносной версии npm-пакета.
Пострадала только версия CLI, распространяемая через npm, а не браузерные расширения, мобильные приложения или сам сервис Bitwarden.
По заявлению Bitwarden, данные хранилищ пользователей не были скомпрометированы.
Атака была частью более широкой кампании supply chain атак, нацеленной на разработческие инструменты и CI/CD процессы.
Вредоносный пакет был нацелен в первую очередь на разработчиков и CI/CD окружения, где могли присутствовать токены, ключи и секреты.

Риски, выявленные инцидентом

Основной риск подобных атак заключается не в конечных пользователях, а в инфраструктуре разработки. Даже кратковременная компрометация пакета может привести к утечке:

GitHub токенов и npm токенов
SSH-ключей
облачных ключей (AWS, GCP, Azure)
переменных окружения и CI/CD секретов

Почему инцидент важен

Этот случай подтверждает, что экосистема npm остаётся уязвимой к атакам через цепочку поставки зависимостей. Даже крупные и доверенные проекты могут быть временно скомпрометированы через CI/CD или токены публикации пакетов.

Практические выводы

Необходимо фиксировать версии зависимостей (lockfile, pinning версий).
Важно ограничивать автоматические обновления в продакшене и CI.
CI/CD системы должны изолировать и минимизировать доступ к секретам.
Следует регулярно ротировать токены и ключи доступа.

Итог: инцидент с Bitwarden CLI не затронул конечных пользователей, но стал ещё одним подтверждением роста угрозы supply chain атак в экосистеме JavaScript и npm.

Просмотров поста: 6

Редактор: AndreyEx

Рейтинг: 5 (1 голос)

Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.