Bitwarden подтверждает, что кратковременный сбой в работе npm затронул пакет CLI

Главная » Программное обеспечение » Bitwarden подтверждает, что кратковременный сбой в работе npm затронул пакет CLI

24.04.2026

Время чтения: 4 мин.

Bitwarden, сервис для управления паролями с открытым исходным кодом, подтвердил, что его клиент командной строки на короткое время оказался под угрозой из-за компрометации цепочки поставок, связанной с пакетом npm для CLI 2026.4.0.

Служба безопасности выявила и заблокировала вредоносный пакет, распространявшийся через npm для @bitwarden/cli@2026.4.0 в период с 17:57 до 19:30 по восточному времени 22 апреля 2026 года. Этот инцидент был частью масштабной кампании Checkmarx по выявлению уязвимостей в цепочке поставок, нацеленной на рабочие процессы публикации программного обеспечения.

Bitwarden утверждает, что проблема была связана только с механизмом распространения npm для интерфейса командной строки и не затронула официальную кодовую базу интерфейса командной строки или сохраненные данные хранилища. Компания не обнаружила никаких свидетельств доступа конечных пользователей к данным хранилища или компрометации производственных систем или данных.

«В ходе расследования не было обнаружено никаких доказательств того, что кто-то получил доступ к данным хранилища конечных пользователей или что эти данные подвергались риску, а также что производственные данные или производственные системы были скомпрометированы. После обнаружения проблемы доступ был отозван, вредоносная версия npm была объявлена устаревшей, и были немедленно приняты меры по устранению последствий».

Взломанный пакет был доступен менее двух часов и затронул только тех пользователей, которые в этот период установили Bitwarden CLI 2026.4.0 через npm. Bitwarden подтверждает, что пользователи браузерного расширения, настольного приложения, мобильного приложения, сервера или пакета Snap не пострадали.

Читать Вышла новая версия Ntfy 2.17 с приоритетным шаблонированием и улучшениями пользовательского интерфейса

Исследователи в области безопасности из компании Socket сообщили, что вредоносная программа содержалась в файле с именем bw1.js в пакете npm. Согласно их анализу, этот пакет связан с более масштабной цепочкой поставок, включающей скомпрометированные рабочие процессы GitHub Actions и вредоносное ПО для кражи учетных данных.

Важно отметить, что полезная нагрузка предназначалась для сбора секретов разработчиков и инфраструктуры, а не содержимого хранилища Bitwarden. По данным компании Socket, она была нацелена на токены GitHub, токены npm, SSH-ключи, облачные учетные данные, файлы .npmrc, переменные среды, историю команд, учетные данные Git и секреты CI/CD. Кроме того, она проверяла наличие постоянных данных в файлах профилей оболочки, таких как .bashrc и .zshrc.

Bitwarden отказался от вредоносного выпуска npm, отозвал скомпрометированные доступы и выпустил Bitwarden CLI 2026.4.1.

Пользователям, установившим проблемный пакет npm, следует удалить его, очистить кэш npm, временно отключить скрипты установки npm на время очистки, сменить все потенциально раскрываемые учетные данные, а также проверить активность на GitHub, рабочие процессы непрерывной интеграции и связанные с ними учетные данные на предмет несанкционированных изменений.

Выводы

Инцидент с Bitwarden CLI показал типичный пример современной supply chain атаки, когда злоумышленники на короткое время получают доступ к каналу распространения пакета и внедряют вредоносный код. В данном случае проблема затронула только npm-версию CLI и была оперативно устранена.

Читать Роберт Риманн (ОС для ЕС): «Большинство официальных лиц никогда не использовали ничего, кроме Windows»

Ключевые выводы

Компрометация была очень кратковременной — около 1–2 часов распространения вредоносной версии npm-пакета.
Пострадала только версия CLI, распространяемая через npm, а не браузерные расширения, мобильные приложения или сам сервис Bitwarden.
По заявлению Bitwarden, данные хранилищ пользователей не были скомпрометированы.
Атака была частью более широкой кампании supply chain атак, нацеленной на разработческие инструменты и CI/CD процессы.
Вредоносный пакет был нацелен в первую очередь на разработчиков и CI/CD окружения, где могли присутствовать токены, ключи и секреты.

Риски, выявленные инцидентом

Основной риск подобных атак заключается не в конечных пользователях, а в инфраструктуре разработки. Даже кратковременная компрометация пакета может привести к утечке:

GitHub токенов и npm токенов
SSH-ключей
облачных ключей (AWS, GCP, Azure)
переменных окружения и CI/CD секретов

Почему инцидент важен

Этот случай подтверждает, что экосистема npm остаётся уязвимой к атакам через цепочку поставки зависимостей. Даже крупные и доверенные проекты могут быть временно скомпрометированы через CI/CD или токены публикации пакетов.

Практические выводы

Необходимо фиксировать версии зависимостей (lockfile, pinning версий).
Важно ограничивать автоматические обновления в продакшене и CI.
CI/CD системы должны изолировать и минимизировать доступ к секретам.
Следует регулярно ротировать токены и ключи доступа.

Итог: инцидент с Bitwarden CLI не затронул конечных пользователей, но стал ещё одним подтверждением роста угрозы supply chain атак в экосистеме JavaScript и npm.

Просмотров поста: 4

Редактор: AndreyEx

Рейтинг: 5 (1 голос)

Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.