اخترق المهاجمون إصدار واجهة الأوامر لمدير كلمات المرور بيتواردن (Bitwarden) رقم 2026,4,0 من خلال إجراءات GitHub مخترقة، وقاموا بنشر حزمة npm خبيثة تقوم بسرقة بيانات محافظ العملات المشفرة وبيانات اعتماد المطورين بشكل نشط.
اكتشفت شركة Socket للأمن السيبراني هذا الاختراق في 23 أبريل وربطته بحملة سلسلة التوريد الجارية TeamPCP. تم سحب إصدار npm الضار منذ ذلك الحين.
استهدف البرمجيات الخبيثة محافظ العملات المشفرة وأسرار عمليات CI/CD
احتوى الحمولة الخبيثة، المدمجة داخل ملف يدعى bw1.js، وتم تشغيلها أثناء تثبيت الحزمة وجمعت رموز GitHub وnpm، ومفاتيح SSH، والمتغيرات البيئية، وسجل أوامر shell، وبيانات اعتماد السحابة.
أكدت حملة TeamPCP الأوسع بشكل منفصل أنها تستهدف بيانات محافظ العملات المشفرة، بما في ذلك ملفات محفظة ميتاماسك (MetaMask)، وفانتوم (Phantom)، وسولانا (Solana).
وفقاً لما ذكرته JFrog، تم نقل البيانات المسروقة إلى نطاقات يسيطر عليها المهاجمون وإعادة رفعها إلى مستودعات GitHub كآلية استمرار .
تعتمد العديد من فرق العملات المشفرة على واجهة الأوامر الخاصة ببيتواردن (Bitwarden CLI) في خطوط إنتاج CI/CD الآلية لحقن الأسرار وتنفيذ النشر. قد تكون أي سير عمل استخدمت الإصدار المخترق قد كشفت مفاتيح محافظ عالية القيمة وبيانات اعتماد واجهات برمجة تطبيقات منصات التداول .
أشار الباحث الأمني عدنان خان أن هذه أول عملية اختراق معروفة لحزمة تستخدم آلية النشر الموثوقة من npm ، والتي صُممت للقضاء على الرموز طويلة الأمد.
إجراءات يجب اتخاذها من قبل المستخدمين المتأثرين
توصي Socket بأن يقوم أي شخص قام بتثبيت @bitwarden/cli إصدار 2026,4,0 بتغيير كل سر مكشوف فوراً.
ينبغي للمستخدمين الرجوع إلى الإصدار 2026,3,0 أو الانتقال إلى ملفات binaries الموقعة رسمياً من موقع بيتواردن (Bitwarden) الإلكتروني.
شنّت TeamPCP هجمات مماثلة ضد Trivy وCheckmarx وLiteLLM منذ مارس 2026، مستهدفة أدوات المطورين العميقة في خطوط البناء.
ظل مخزن بيتواردن (Bitwarden) الأساسي آمناً. تم اختراق عملية بناء CLI فقط .
