На протяжении 93 минут установка «официального» CLI Bitwarden превращала ноутбуки в Launchpad для захвата аккаунтов GitHub
22 апр. вредоносная версия интерфейса командной строки Bitwarden появилась на npm под официальным именем пакета @bitwarden/cli@2026.4.0. В течение 93 минут любой, кто загружал CLI через npm, получал бэкдорную замену легитимного инструмента.
Bitwarden обнаружил компрометацию, удалил пакет и выпустил заявление, в котором сообщил, что не нашёл доказательств того, что злоумышленники получили доступ к данным хранилищ конечных пользователей или скомпрометировали производственные системы.
Компания по исследованию безопасности JFrog проанализировала вредоносную полезную нагрузку и обнаружила, что она не проявляла особого интереса к хранилищам Bitwarden. Она была нацелена на токены GitHub, токены npm, SSH-ключи, историю оболочки, учётные данные AWS, учётные данные GCP, учётные данные Azure, секреты GitHub Actions и файлы конфигурации инструментов ИИ.
Это учётные данные, которые управляют тем, как команды создают, развёртывают и получают доступ к своей инфраструктуре.
| Целевой секрет / тип данных | Где обычно хранится | Почему это важно операционно |
|---|---|---|
| Токены GitHub | Ноутбуки разработчиков, локальная конфигурация, среды CI | Могут обеспечить доступ к репозиторию, злоупотребление рабочими процессами, перечисление секретов и горизонтальное перемещение через автоматизацию |
| Токены npm | Локальная конфигурация, среды выпуска | Могут использоваться для публикации вредоносных пакетов или изменения процессов выпуска |
| SSH-ключи | Машины разработчиков, хосты сборки | Могут открыть доступ к серверам, внутренним репозиториям и инфраструктуре |
| История оболочки | Локальные машины | Могут раскрыть вставленные секреты, команды, внутренние имена хостов и детали рабочих процессов |
| Учётные данные AWS | Локальные файлы конфигурации, переменные среды, секреты CI | Могут раскрыть облачные рабочие нагрузки, хранилища и системы развёртывания |
| Учётные данные GCP | Локальные файлы конфигурации, переменные среды, секреты CI | Могут раскрыть облачные проекты, сервисы и конвейеры автоматизации |
| Учётные данные Azure | Локальные файлы конфигурации, переменные среды, секреты CI | Могут раскрыть облачную инфраструктуру, системы идентификации и пути развёртывания |
| Секреты GitHub Actions | Среды CI/CD | Могут предоставить доступ к автоматизации, результатам сборки, развёртываниям и последующим секретам |
| Файлы конфигурации инструментов ИИ | Директории проекта, локальные среды разработки | Могут раскрыть API ключи, внутренние конечные точки, настройки моделей и связанные учётные данные |
Bitwarden обслуживает более 50 000 предприятий и 10 миллионов пользователей, а его собственная документация описывает CLI как «мощный, полнофункциональный» способ доступа к хранилищу и управления им, в том числе в автоматизированных рабочих процессах, которые выполняют аутентификацию с использованием переменных среды.
Bitwarden указывает npm как простейший и предпочтительный метод установки для пользователей, уже знакомых с реестром. Это сочетание использования в автоматизации, установки на машины разработчиков и официального распространения через npm помещает CLI именно туда, где обычно хранятся высокоценные секреты инфраструктуры.
Анализ JFrog показывает, что вредоносный пакет перепрограммировал как хук preinstall, так и точку входа бинарного файла bw на загрузчик, который загружал среду выполнения Bun и запускал обфусцированную полезную нагрузку. Компрометация срабатывает во время установки и во время выполнения.
Организация могла запускать бэкдорный CLI, не касаясь каких-либо сохранённых паролей, пока вредоносное ПО систематически собирало учётные данные, управляющие её CI-конвейерами, облачными аккаунтами и автоматизацией развёртывания.
Компания по безопасности Socket утверждает, что атака, по всей видимости, использовала скомпрометированный GitHub Action в CI/CD-конвейере Bitwarden, что соответствует паттерну, который отслеживают исследователи Checkmarx.
Bitwarden подтвердил, что инцидент связан с более широкой кампанией по атаке на цепочку поставок Checkmarx.
Узкое место доверия
Npm разработал свою модель доверенной публикации именно для устранения этого класса рисков.
Заменив долгоживущие токены публикации npm аутентификацией CI/CD на основе OIDC, система устраняет один из наиболее распространённых путей, которые злоумышленники используют для захвата выпусков реестра, и npm рекомендует доверенную публикацию, рассматривая её как значимый шаг вперёд.
Более сложная поверхность — это сама логика выпуска, такая как рабочие процессы и действия, которые вызывают шаг публикации. Собственная документация npm рекомендует средства контроля помимо OIDC, такие как среды развёртывания с требованиями ручного одобрения, правила защиты тегов и ограничения ветвей.
| Уровень в цепочке доверия | Что он должен гарантировать | Что всё равно может пойти не так |
|---|---|---|
| Исходный репозиторий | Предполагаемая кодовая база существует в ожидаемом репозитории | Злоумышленникам может никогда не понадобиться напрямую изменять основную кодовую базу |
| CI/CD-рабочий процесс | Автоматизирует сборку и выпуск из репозитория | При компрометации может создать и опубликовать вредоносный артефакт |
| GitHub Actions / логика выпуска | Выполняет шаги по сборке и публикации программного обеспечения | Отравленное действие или злоупотреблённый рабочий процесс могут превратить легитимный путь выпуска в вредоносный |
| Доверенная публикация OIDC | Заменяет долгоживущие токены реестра краткосрочной аутентификацией на основе идентификации | Это подтверждает, что авторизованный рабочий процесс опубликовал пакет, но не то, что сам рабочий процесс был безопасен |
| Официальный маршрут пакета npm | Распространяет программное обеспечение под ожидаемым именем пакета | Пользователи всё равно могут получить вредоносное ПО, если официальный путь публикации скомпрометирован |
| Машина разработчика / CI-исполнитель | Потребляет официальный пакет | Вредоносное ПО во время установки или выполнения может собирать локальные, облачные и автоматизационные секреты |
Настройки среды GitHub позволяют организациям требовать одобрения рецензентов перед тем, как рабочий процесс может выполнить развёртывание. Фреймворк SLSA идёт дальше, прося потребителей проверить, соответствует ли происхождение ожидаемым параметрам, таким как правильный репозиторий, ветвь, тег, рабочий процесс и конфигурация сборки.
Инцидент с Bitwarden показывает, что более сложная проблема находится на уровне рабочего процесса. Если злоумышленник может эксплуатировать сам рабочий процесс выпуска, значок «официальный» всё равно сопровождает вредоносный пакет.
Доверенная публикация перемещает бремя доверия вверх — к целостности рабочих процессов и действий, которые её вызывают, — на уровень, который организации в основном оставили без проверки.
Один токен — многие двери
Для команд разработчиков и инфраструктуры скомпрометированный рабочий процесс выпуска открывает CI-конвейеры, инфраструктуру автоматизации и учётные данные, которые ими управляют.
Анализ JFrog показывает, что как только вредоносное ПО получило токен GitHub, оно могло проверить токен, перечислить доступные для записи репозитории, получить список секретов GitHub Actions, создать ветвь, зафиксировать рабочий процесс, дождаться его выполнения, загрузить полученные артефакты, а затем произвести очистку.
Получение токена создаёт автоматизированную цепочку, которая превращает одну украденную учётную запись в постоянный доступ ко всей инфраструктуре автоматизации организации.
Ноутбук разработчика, устанавливающего отравленный официальный пакет, становится мостом от локального хранилища учётных данных хоста к доступу к GitHub и ко всему, к чему этот токен GitHub может получить доступ.
Инцидент с Bybit является близкой структурной аналогией. Скомпрометированная рабочая станция разработчика позволила злоумышленникам отравить доверенный вышестоящий интерфейс, который затем достиг операционного процесса жертвы.
Разница в том, что Bybit был связан с подделанным веб-интерфейсом Safe, тогда как Bitwarden — с подделанным официальным пакетом npm.
В крипто-, финтех- или кастодиальных средах этот путь может пролегать от хранилища учётных данных к подписантам выпуска, облачному доступу и системам развёртывания, не затрагивая ни одной записи хранилища.
В течение 60 дней Checkmarx раскрыл скомпрометированные рабочие процессы GitHub Actions и плагины OpenVSX, а Cloud Security Alliance предупредил, что кампания TeamPCP активно компрометирует проекты с открытым исходным кодом и компоненты автоматизации CI/CD.
JFrog задокументировал, как скомпрометированный GitHub Action Trivy похитил токен публикации LiteLLM и обеспечил вредоносные выпуски PyPI, а Axios раскрыл, что две вредоносные версии npm циркулировали примерно три часа через скомпрометированный аккаунт мейнтейнера.
Sonatype насчитала более 454 600 новых вредоносных пакетов только в 2025 году, доведя совокупный итог до более чем 1,2 миллиона. Bitwarden присоединяется к цепочке инцидентов, которая подтверждает, что рабочие процессы выпуска и реестры пакетов являются основной поверхностью атаки.
| Дата / период | Инцидент | Скомпрометированная точка доверия | Почему это важно |
|---|---|---|---|
| 23 мар. 2026 | Checkmarx раскрыл скомпрометированные рабочие процессы GitHub Actions и плагины OpenVSX | Рабочие процессы GitHub Actions, распространение инструментов разработчика | Показывает злоумышленников, нацеленных на вышестоящую автоматизацию и доверенные каналы инструментов |
| В рамках того же окна кампании | Цепочка Trivy / LiteLLM, задокументированная JFrog | Скомпрометированный GitHub Action, приведший к краже токена и вредоносным выпускам PyPI | Демонстрирует, как один отравленный компонент автоматизации может каскадом привести к злоупотреблению публикацией пакетов |
| 31 мар. 2026 | Вредоносные версии npm Axios | Скомпрометированный аккаунт мейнтейнера | Показывает, что официальные имена пакетов могут стать векторами атаки через компрометацию на уровне аккаунта |
| 22 апр. 2026 | Вредоносный выпуск npm Bitwarden CLI | Официальный путь распространения npm для инструмента безопасности | Показывает, что доверенный пакет может раскрыть секреты инфраструктуры, не затрагивая содержимого хранилища |
| Итог 2025 года | Подсчёт вредоносных программ Sonatype | Экосистема пакетов с открытым исходным кодом в целом | Указывает на масштаб активности вредоносных пакетов и на то, почему доверие к реестру теперь является стратегическим риском |
Точная первопричина пока не является публичной, поскольку Bitwarden подтвердил связь с кампанией Checkmarx, но не опубликовал подробного описания того, как злоумышленник получил доступ к конвейеру выпуска.
Последствия атаки
Наиболее значимым результатом для защитников является то, что этот инцидент ускоряет переопределение понятия «официальный».
Сегодня доверенная публикация прикрепляет данные о происхождении к каждому выпущенному пакету, тем самым подтверждая идентификацию издателя в реестре. SLSA явно документирует более высокий стандарт для верификаторов, позволяющий проверить, соответствует ли происхождение ожидаемому репозиторию, ветви, рабочему процессу и параметрам сборки.
Если этот стандарт станет поведением потребителей по умолчанию, «официальный» начнёт означать «построенный правильным рабочим процессом при правильных ограничениях», и злоумышленник, который компрометирует действие, но не может удовлетворить каждое ограничение происхождения, создаёт пакет, который автоматизированные потребители отклоняют до его получения.
Более вероятный краткосрочный путь движется в противоположном направлении. Злоумышленники продемонстрировали не менее чем в 4 инцидентах за 60 дней, что рабочие процессы выпуска, зависимости действий и учётные данные, смежные с мейнтейнерами, приносят высокоценные результаты при относительно низком трении.
Каждый последующий инцидент добавляет ещё один задокументированный метод в публичный сборник приёмов: компрометация действий, кража токенов из вывода CI, захват аккаунта мейнтейнера и злоупотребление путём доверенной публикации.
Если проверка происхождения не станет поведением потребителей по умолчанию, а не необязательным политическим уровнем, официальные имена пакетов будут пользоваться бо́льшим доверием, чем могут оправдать их процессы выпуска.
Материал «За 93 минуты установка "официального" CLI Bitwarden превратила ноутбуки в плацдармы для захвата аккаунтов GitHub» впервые опубликован на CryptoSlate.
Вам также может быть интересно
Акции Newmont (NEM) растут на фоне сильных результатов за первый квартал и масштабной программы обратного выкупа
Цена Ethereum держится на уровне $2 325, пока Кит открывает лонг на $90 миллионов. Сможет ли ETH пробить $3 000?
