ผู้โจมตีได้แฮก Bitwarden Password Manager เวอร์ชัน CLI 2026.4.0 ผ่าน GitHub Action ที่ถูกโจมตี และเผยแพร่แพ็กเกจ npm อันตรายที่ขโมยข้อมูลกระเป๋าเงินคริปโตและข้อมูลประจำตัวของนักพัฒนา
บริษัทด้านความปลอดภัย Socket ตรวจพบเหตุการณ์รั่วไหลนี้เมื่อวันที่ 23 เมษายน และเชื่อมโยงกับแคมเปญซัพพลายเชน TeamPCP ที่ยังคงดำเนินต่อเนื่อง เวอร์ชัน npm ที่เป็นอันตรายได้ถูกนำออกแล้ว
มัลแวร์มุ่งโจมตีกระเป๋าเงินคริปโตและความลับ CI/CD
โค้ดอันตรายที่ฝังอยู่ในไฟล์ชื่อ bw1.js จะรันระหว่างติดตั้งแพ็กเกจและขโมยโทเคน GitHub รวมถึง npm, คีย์ SSH, ตัวแปรสภาพแวดล้อม, ประวัติคำสั่ง shell และข้อมูลบัญชี cloud
มีการยืนยันแยกต่างหากว่าแคมเปญที่กว้างขึ้นของ TeamPCP มีเป้าหมายที่ข้อมูลกระเป๋าเงินคริปโต เช่น ไฟล์กระเป๋าเงิน MetaMask, Phantom และ Solana
ตามรายงานของ JFrog ข้อมูลที่ถูกขโมยจะถูกส่งออกไปยังโดเมนที่ผู้โจมตีควบคุมและส่งคืนไปยัง GitHub repositories ของเหยื่อในฐานะ กลไก ในการคงอยู่
หลายทีมคริปโตใช้ Bitwarden CLI ในสายการทำงาน CI/CD อัตโนมัติสำหรับการแทรกข้อมูลลับและดีพลอย ดังนั้น กระบวนการทำงานใด ๆ ที่รันเวอร์ชันที่ถูกโจมตีอาจทำให้กุญแจกระเป๋าเงินมูลค่าสูงและ ข้อมูลรับรอง API ของกระดานแลกเปลี่ยน รั่วไหล
นักวิจัยความปลอดภัย Adnan Khan ชี้ว่านี่คือกรณีแรกที่พบการโจมตีแพ็กเกจผ่าน กลไกเผยแพร่ที่เชื่อถือได้ของ npm ซึ่งถูกออกแบบมาเพื่อขจัดโทเคนที่อยู่นานจากระบบ
แนวทางสำหรับผู้ใช้ที่ได้รับผลกระทบ
Socket แนะนำให้ทุกคนที่ติดตั้ง @bitwarden/cli เวอร์ชัน 2026.4.0 รีเซ็ตข้อมูลลับที่รั่วไหลทันที
ผู้ใช้ควรกลับไปใช้เวอร์ชัน 2026.3.0 หรือหันไปติดตั้งไบนารีที่ลงลายเซ็นอย่างเป็นทางการจากเว็บไซต์ของ Bitwarden
TeamPCP ได้ทำการโจมตีในลักษณะคล้ายกันต่อ Trivy, Checkmarx และ LiteLLM ตั้งแต่มีนาคม 2026 โดยมุ่งโจมตี เครื่องมือสำหรับนักพัฒนา ที่มีบทบาทสำคัญในสาย build pipeline
ข้อมูลvault หลักของ Bitwarden ไม่ได้รับผลกระทบ มีเพียงกระบวนการ build ของ CLI เท่านั้นที่ถูก โจมตี
