22 квітня виникла ще одна крадійська історія з криптою 🚀
Надійна версія інструмента командної лінії компанії Bitwarden з’явилася на npm під офіційним ім’ям @bitwarden/cli@2026.4.0 За 93 хвилин, хто завантажував цей інструмент, отримував замаскований варіант справжнього інструмента
Компанія Bitwarden виявила порушень, видалила пакет та випустила заяву, яка свідчить про відсутність ніякої підтримки доступу користувачів до своїх сховищ чи порушення системи виробництва
Компанія щодо безпеки JFrog провела аналіз шкідливого пакету та виявила, що він містив декілька типів даних, які можуть бути дуже цінними для злочинців
Ці дані стосувались облікових даних GitHub, npm, SSH, історію командного рядка, облікові дані AWS, облікові дані GCP, облікові дані Azure, таємниціGitHub Actions та налаштування інструментів AI 📊.
Ці дані були дуже цінними для злочинців, адже вони дозволяють їм отримати доступ до інфраструктури компанії та її даних
Bitwarden забезпечує послуги майже 50 тисяч підприємств та 10 мільйонів користувачів
Їх документація описує інструмент командної лінії як дуже потужний та функціональний інструмент для роботи зі сховищем, навіть з використанням автоматизованих потоків.
У компанії Bitwarden вказано npm як найпростіший та рекомендований спосіб встановлення інструмента Це поєднання автоматизації та офіційних джерел розповсюдження створює високовартісну ціль для злочинців
Аналіз компанії JFrog показав, що шкідливий пакет змінював початковий етап встановлення інструмента та виконавський етап виконавчого файлу на спеціальну програму, яка завантажувала обгортку Bun та запускала замасковані дані
У результаті, користувачам встановлювалися замасковані дані, які згодом збирали цінні дані користувачів та їх облікові дані
Фірма щодо безпеки Socket змогла експлуатувати компрометовану дія GitHub у потоці CI/CD компанії Bitwarden, що є частиною більш широкої компанії щодо безпеки Checkmarx
Bitwarden підтвердила, що це порушення пов’язане з більш широкою кампанією компанії щодо безпеки Checkmarx
Найбільшою особливістю цієї історії є те, що злочинці змогли змусити користувачів встановлювати свій інструмент під ім’ям компанії Bitwarden
Це є частиною більш широкої проблеми з вірогідністю розповсюдження пакетів
Натомість компанії повинні дотримуватися більш строгих процесів безпеки та контролю над своїми пакетами
У результаті цієї історії компанії повинні більш детально аналізувати свої процеси безпеки та запобігати подібним злочинцям у майбутньому 💰
За матеріалами CryptoSlate