22 Nisan 23:57 ile 23 Nisan 01:30 (Alman saati) arasında (17:57 – 19:30 ET), @bitwarden/cli sürüm 2026.4.0 npm paketi kötü amaçlı kodla teslim edildi. Güvenliği ihlal edilmiş bu sürüm, kullanıcının kimlik bilgilerini çaldı. Ancak Bitwarden, gerçek kasada saklanan son kullanıcı verilerinin (kasa verileri) etkilenmediğine dikkat çekiyor.
Duyurudan sonra devamını okuyun
Bitwarden'ın topluluk forumunda duyurduğu gibi, güvenlik ekibi manipüle edilmiş paketi tespit etti ve kontrol altına aldı. Bu nedenle dağıtım yalnızca NPM aracılığıyla gerçekleştirildi; Söz konusu dönemde paketi NPM aracılığıyla almayanlar etkilenmeyecektir. Saldırıya uğramış sürüm artık kullanımdan kaldırılmış olarak işaretlendi ve kötüye kullanım amaçlı erişim iptal edildi. Olay, Checkmarx'ın tedarik zincirine yönelik daha büyük bir saldırının parçası.
Geri dönüş mekanizmalarına sahip gelişmiş kimlik bilgisi hırsızı
JFrog ve Socket.dev'den güvenlik araştırmacıları, kötü amaçlı yazılımı ayrıntılı olarak analiz etti. Manipüle edilmiş olan package.json bir tane içeriyordu preinstall-Kurulum sırasında otomatik olarak adlandırılmış bir yükleyici dosyası oluşturan komut dosyası bw_setup.js uygulanmış. Bu, Bun çalışma zamanını (sürüm 1.3.13) GitHub'dan indirdi ve gizlenmiş bir JavaScript yükünü başlattı (bw1.js).
Kötü amaçlı kod çok çeşitli hassas verileri hedef aldı: GitHub ve npm belirteçleri, SSH anahtarları, kabuk geçmişleri ve AWS, Google Cloud ve Azure kimlik bilgileri. Ayrıca GitHub Eylem Sırları, Git Kimlik Bilgileri, .envdosyalar ve hatta konfigürasyon dosyaları Claude ve MCP gibi yapay zeka araçları tarafından okunup saldırganlara gönderiliyor.
Çıkarma esas olarak adresle şifrelendi audit.checkmarx.cx (IP: 94.154.172.43). Kötü amaçlı yazılım, bir geri dönüş olarak karmaşık bir mekanizma kullandı: Çalınan GitHub tokenleri, kurbanın hesabı altında veri sızıntısı depoları oluşturmak için doğrulandı. Double Base64 kodlu PAT'ler, “LongLiveTheResistanceAgainstMachines” işaretleyicisiyle taahhüt mesajlarında gizlendi.
Acil karşı önlemlere ihtiyaç var
Duyurudan sonra devamını okuyun
Belirtilen süre içerisinde 2026.4.0 sürümünü yükleyen herkesin derhal harekete geçmesi gerekmektedir. Bitwarden şununla kaldırmanızı önerir: npm uninstall -g @bitwarden/cli ve npm önbelleğini temizleyin. Etkilenen sistemlerde yöneticilerin yapıtları araması gerekir bw_setup.js, bw1.js ve indirilen bir Bun çalışma zamanı.
Güvenliği ihlal edilmiş sistemde depolanan tüm kimlik bilgilerinin döndürülmesi özellikle önemlidir: GitHub kişisel erişim belirteçleri, npm belirteçleri, AWS erişim anahtarları, Azure ve GCP gizli dizileri ve SSH anahtarları. GitHub Eylemleri iş akışları da yetkisiz yürütmelere karşı kontrol edilmelidir. Etki alanı audit.checkmarx.cx ve IP 94.154.172.43 güvenlik duvarlarında engellenmelidir.
Tüm depolar şu anda yeniden 2026.3.0 normal sürümünü sağlıyor. Üreticiye göre Bitwarden CLI'nin bu ve 2026.4.0 dışındaki diğer sürümleri etkilenmemektedir. Üretim sistemlerinden ve depo verilerinden asla ödün verilmedi.
(Evet)
Bir yanıt yazın