Ein schädliches Paket kurz auf npm veröffentlicht kompromittiert die Verteilung von Bitwardens CLI und setzen auf risikoempfindliche Anmeldeinformationen von Entwicklern und CI / CD-Systemen. Technische Quellen, die den Vorfall untersuchten, identifizierten die betroffene Version als 2026.4.0 die für ein kurzes Intervall am 22. April 2026 zur Verfügung stand; Bitwarden bestätigte, dass das Problem auf seinen npm-Kanal und auf diejenigen beschränkt war, die dieses spezifische Paket heruntergeladen haben, und sagte, dass es keinen Nachweis für den Zugang zu Benutzer-Wachstumsdaten oder Produktionssystemen gibt, nach seiner öffentlichen Kommunikation Beamte.
Die technische forensische Analyse zeigt ein Angreifmuster der Lieferkette: Die Angreifer hätten den CI / CD-Prozess (möglicherweise durch eine kompromittierte GitHub-Aktion) manipuliert, um ein Ladegerät in die Vorinstallationsskripte des Pakets einzuspritzen. Dieses Ladegerät lädt eine Laufzeit (Bun) herunter, führt eine affuscated-Datei und entfaltet eine Infostealer die npm und GitHub-Token, SSH-Keys und Public Cloud-Anmeldeinformationen sammelt, die Ergebnisse mit AES-256-GCM verschlüsselt und die Daten durch die Erstellung von öffentlichen Repositories unter den Konten der Opfer auslöscht - Repositories, die in mehreren Fällen die Kette "Shai-Hulud: The Third Coming" enthalten, die mit früheren Kampagnen verknüpft ist - wie von Community-Analysen und Antwortgeräten dokumentiert unabhängig voneinander und Forschungsanbieter technische.
Neben der Extraktion, Malware beinhaltet Propagation Mechanismen: Sie können gestohlene Token verwenden, um Pakete zu identifizieren, die das Opfer veröffentlichen und modifizieren diese Projekte, um zusätzlichen schädlichen Code einfügen, ein erstes Engagement für eine selbstreplizierende Bedrohung innerhalb des Paket-Ökosystems. Das Profil der Kampagne und bestimmte technische Übereinstimmungen weisen auf einen mit früheren Vorfällen gegen Entwicklungspakete und Werkzeuge verbundenen Schauspieler hin, der unterstreicht, dass die Entwickler heute ein strategisches Ziel für Akteure sind, die auf eine wertvollere Infrastruktur zielen.
Wenn Sie die betroffene Version heruntergeladen haben, müssen Sie davon ausgehen, dass die Geheimnisse der Umgebung beeinträchtigt wurden: sofort alle Zeichen, Schlüssel und Anmeldeinformationen freigelegt vor allem die von Pipelines, CI / CD-Integrationen und Cloud-Services verwendeten. Verbessern Sie npm und GitHub-Token, ersetzen Sie SSH-Tasten und Cloud-Service-Zugriffsschlüssel, ungültige Anmeldeinformationen in Läufern gespeichert und überprüfen GitHubs Aktionshistoriken, um öffentliche Repository-Kreationen oder ungewöhnliche Aktivitäten zu erkennen. Ändern Sie Geheimnisse, ohne Seitenzugriff oder Anmeldeinformationen, die in Läufern oder persistenten Servern gespeichert sind, lässt die Tür offen für die Wiederverwendung durch den Angreifer.
Im Bereich der Vorbeugung und kontinuierlichen Minderung sollte die Entwicklungs- und Lieferkette gestärkt werden: Begrenzung des Tokenumfangs (das Prinzip des weniger Privilegs), Nutzung von kurzfristigen Token und ephemeralen Anmeldeinformationen, Aktivierung der Multifaktor-Authentifizierung in Entwicklerkonten und in npm / GitHub, Prüfung und Einstellung von Versionen in Lockfiles, Anwendung von Abhängigkeits-Scannen und Erkennung von Geheimnissen in CI und Annahme von Gebäudeintegritätspraktiken wie SLSA. Es wird auch empfohlen, die GitHub-Aktionen und andere Integration in Pipelines zu überprüfen, um unsichere oder übermäßige Komponenten von Drittanbietern zu erkennen und Politiken zur Überprüfung von Änderungen der Paketveröffentlichungsströme umzusetzen.
Für Forscher und Antwort-Teams umfassen die zu suchenden Signale ungewöhnliche vorinstallierende Skripte (z.B. Referenzen auf bw _ setup.js in diesem Fall), Downloads von ungewöhnlichen Laufzeiten, Prozesse, die Binäre wie Bun von Paketen und das Auftauchen neuer öffentlicher Repositories mit verschlüsselten Artefakten oder Namen / Strings, die bereits mit früheren Kampagnen verbunden sind. Organisationen sollten log-Analyse, Endpoint-Verhaltenserkennung und Audit-Review in GitHub kombinieren, um den Umfang neu zu erstellen und den Bruch von Geheimnissen zu bestätigen.
Bitwarden hat schnell gehandelt, um engagierte Zugriffe zu widerrufen und die betroffene Veröffentlichung abzuwerten, aber dieser Vorfall verstärkt eine wiederkehrende Lektion: keine Einheit für Entwickler wird standardmäßig inokuliert. Geräte sollten Entwicklungstools als Risikolautsprecher behandeln und Kontrollen anwenden, die denen entsprechen, die Produktionsumgebungen schützen: Zugangskontrolle, aktive Überwachung und automatisierte Reaktion auf Verpflichtungsindikatoren. Für weitere technische Informationen und Fallverfolgung, siehe die öffentlichen Analysen und die Bitwarden Note oben.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...