الرئيس التنفيذي لأمن المعلومات لدى شركة Mist 23pds ينقل تحذيرًا من فريق الأمان في Bitwarden، إذ تم سحب إصدار npm الذي تم فيه تزوير إصدار npm الخبيث الذي تم نشره عبر npm خلال فترة 1.5 ساعة بين الساعة 5:57 مساءً و7:30 مساءً بتوقيت شرق الولايات المتحدة في 22 أبريل من خلال إصدار Bitwarden CLI 2026.4.0، وقد أكدت Bitwarden رسميًا أن بيانات خزنة كلمات المرور وأنظمة الإنتاج لم تتأثر.
تفاصيل الهجوم: الهدف من سرقة حمولة bw1.js الخبيثة
تعمل الحمولة الخبيثة بصمت أثناء تثبيت حزمة npm، وتقوم بجمع أنواع البيانات التالية:
· رموز GitHub و npm
· مفاتيح SSH
· متغيرات البيئة
· سجل الأوامر shell
· بيانات اعتماد الخدمات السحابية
· مستندات المحافظ المشفرة (بما في ذلك MetaMask وPhantom ومحافظ Solana)
يتم تسريب البيانات المسروقة إلى نطاقات يتحكم بها المهاجم، ويتم تقديمها إلى مستودع GitHub عبر آلية استمرارية. تستخدم العديد من فرق العملات المشفرة Bitwarden CLI في عمليات التشغيل الآلي لـ CI/CD لحقن المفاتيح والنشر؛ وأي عمليات تشغيل قامت بتنفيذ الإصدارات التي تم اختراقها قد تكشف مفاتيح محافظ عالية القيمة وأوراق اعتماد API الخاصة بالبورصات.
خطوات الاستجابة العاجلة للمستخدمين المتأثرين
يجب على المستخدمين الذين قاموا بتثبيت إصدار 2026.4.0 عبر npm فقط ضمن نافذة 22 أبريل بتوقيت شرق الولايات المتحدة بين 5:57 و7:30 اتخاذ الإجراءات التالية: قم بإلغاء تثبيت إصدار 2026.4.0 فورًا؛ امسح ذاكرة التخزين المؤقت لـ npm؛ قم بتدوير جميع بيانات الاعتماد الحساسة مثل جميع API Token ومفاتيح SSH؛ تحقق من الأنشطة غير المعتادة في GitHub وعمليات CI/CD؛ قم بالترقية إلى إصدار 2026.4.1 الذي تم إصلاحه (أو الرجوع إلى 2026.3.0، أو تنزيل الملفات الثنائية الموقعة رسميًا من الموقع الرسمي لـ Bitwarden).
خلفية الهجوم: استغلال آلية النشر الموثوقة لـ npm لأول مرة
أشار الباحث الأمني Adnan Khan إلى أن هذا الهجوم هو حالة معروفة لأول استغلال لآلية النشر الموثوقة لـ npm لاختراق حزم البرامج. ترتبط عملية الهجوم بنشاط هجوم سلسلة التوريد TeamPCP، ومنذ مارس 2026، شنت TeamPCP هجمات مماثلة على أدوات الأمان Trivy ومنصة أمان الكود Checkmarx وأداة الذكاء الاصطناعي LiteLLM، بهدف تضمين أدوات المطورين داخل عملية الإنشاء لـ CI/CD.
الأسئلة الشائعة
كيف يمكنني التأكد مما إذا كنت قد قمت بتثبيت إصدار 2026.4.0 المتأثر؟
يمكنك تشغيل npm list -g @bitwarden/cli للتحقق من الإصدار المثبت. إذا كان يظهر 2026.4.0 وكان وقت التثبيت بين 5:57 و7:30 مساءً بتوقيت شرق الولايات المتحدة في 22 أبريل، فيجب اتخاذ إجراءات استجابة فورًا. حتى إذا لم تكن متأكدًا من وقت التثبيت، يُنصح بتدوير جميع بيانات الاعتماد ذات الصلة يدويًا بشكل استباقي.
هل تم تسريب بيانات خزنة كلمات مرور Bitwarden؟
لا. أكدت Bitwarden رسميًا أنه لم يتم الإضرار ببيانات خزنة كلمات المرور للمستخدمين ولا أنظمة الإنتاج. يؤثر هذا الهجوم فقط على عملية إنشاء CLI؛ ويكون هدفه بيانات اعتماد المطورين ومستندات المحافظ المشفرة، وليس قاعدة بيانات كلمات المرور لمستخدمي منصة Bitwarden.
ما هي الخلفية الأوسع لنشاط هجمات سلسلة التوريد TeamPCP؟
منذ مارس 2026، نفذت TeamPCP سلسلة من هجمات سلسلة التوريد ضد أدوات المطورين، وكانت الأهداف المتضررة تشمل Trivy وCheckmarx وLiteLLM. إن الهجوم على Bitwarden CLI جزء من نفس سلسلة الأنشطة، بهدف تضمين أدوات المطورين داخل عملية الإنشاء لـ CI/CD لسرقة بيانات اعتماد عالية القيمة داخل قنوات التشغيل الآلي.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
