هاجم المهاجمون مدير كلمات المرور بيتواردن إصدار CLI ٢٠٢٦,٤,٠ من خلال إجراء مخترق على موقع GitHub، وقاموا بنشر حزمة npm ضارة تسرق بيانات محافظ العملات الرقمية وبيانات اعتماد المطورين بشكل نشط.
كشف شركة الأمن السيبراني سوكيت عن الاختراق في ٢٣ أبريل وربطه بحملة سلسلة التوريد المستمرة لفريق TeamPCP. وقد تم سحب إصدار npm الخبيث منذ ذلك الحين.
خطر البرامج الضارة يستهدف محافظ العملات الرقمية وأسرار CI/CD
احتوى الحمولة الضارة، المدمجة في ملف يسمى bw1.js، على تعليمات برمجية جرى تنفيذها أثناء تثبيت الحزمة وقامت بجمع رموز GitHub وnpm، ومفاتيح SSH ، والمتغيرات البيئية، وسجل الأوامر، وبيانات الاعتماد السحابية.
أكد بشكل منفصل أن حملة فريق TeamPCP الأوسع تستهدف بيانات محافظ العملات الرقمية، بما في ذلك ملفات محافظ ميتاماسك وفانتوم وسولانا.
ذكرت JFrog أن البيانات المسروقة نُقلت إلى نطاقات يسيطر عليها المهاجمون وتمت إعادتها إلى مستودعات GitHub كآلية للاحتفاظ بالوصول.
يستخدم العديد من فرق العملات الرقمية بيتواردن CLI في خطوط CI/CD المؤتمتة لحقن الأسرار وعمليات النشر. قد تكون أي سير عمل استخدمت النسخة المخترقة قد عرضت مفاتيح محافظ قيمة وأيضًا بيانات اعتماد واجهات برمجة تطبيقات منصات التبادل.
لاحظ الباحث الأمني عدنان خان أن هذه هي أول حالة معروفة لاختراق حزمة باستخدام آلية النشر الموثوقة في npm، والتي صُممت للقضاء على الرموز طويلة الأجل.
ما الذي يجب أن يفعله المستخدمون المتضررون
توصي سوكيت أي شخص قام بتثبيت @bitwarden/cli إصدار ٢٠٢٦,٤,٠ بتدوير كل سر تم كشفه على الفور.
ينبغي للمستخدمين الرجوع إلى الإصدار ٢٠٢٦,٣,٠ أو التحول إلى الحزم الثنائية الموقعة رسميًا من موقع بيتواردن.
نفذ فريق TeamPCP هجمات مشابهة ضد Trivy وCheckmarx وLiteLLM منذ مارس ٢٠٢٦ مستهدفًا أدوات المطورين التي تعمل ضمن خطوط بناء شديدة الأهمية.
يبقى صندوق بيتواردن الرئيسي غير متأثر. تعرض فقط عملية بناء إصدار CLI للاختراق.
