22 апреля в npm под официальным именем пакета @bitwarden/cli@2026.4.0 появилась вредоносная версия интерфейса командной строки Bitwarden. В течение 93 минут любой, кто загружал CLI через npm, получал бэкдоренную замену легитимному инструменту.
Bitwarden обнаружил компрометацию, удалил пакет и опубликовал заявление, в котором говорилось, что не найдено никаких доказательств того, что злоумышленники получили доступ к данным хранилищ конечных пользователей или скомпрометировали производственные системы.
Фирма по исследованию безопасности JFrog проанализировала вредоносную полезную нагрузку и обнаружила, что она не проявляла особого интереса к хранилищам Bitwarden. Она нацеливалась на токены GitHub, токены npm, SSH-ключи, историю командной оболочки, учетные данные AWS, GCP и Azure, секреты GitHub Actions и файлы конфигурации инструментов ИИ.
Это учетные данные, которые определяют, как команды создают, развертывают и получают доступ к своей инфраструктуре.
| Целевой секрет / тип данных | Где обычно находится | Операционное значение |
|---|---|---|
| Токены GitHub | Ноутбуки разработчиков, локальная конфигурация, среды CI | Могут обеспечить доступ к репозиториям, злоупотребление рабочими процессами, перечисление секретов и боковое перемещение через автоматизацию |
| Токены npm | Локальная конфигурация, среды выпуска | Могут использоваться для публикации вредоносных пакетов или изменения потоков выпуска |
| SSH-ключи | Машины разработчиков, хосты сборки | Могут открыть доступ к серверам, внутренним репозиториям и инфраструктуре |
| История командной оболочки | Локальные машины | Может раскрыть вставленные секреты, команды, внутренние имена хостов и детали рабочего процесса |
| Учетные данные AWS | Локальные файлы конфигурации, переменные среды, секреты CI | Могут раскрыть облачные рабочие нагрузки, хранилище и системы развертывания |
| Учетные данные GCP | Локальные файлы конфигурации, переменные среды, секреты CI | Могут раскрыть облачные проекты, сервисы и конвейеры автоматизации |
| Учетные данные Azure | Локальные файлы конфигурации, переменные среды, секреты CI | Могут раскрыть облачную инфраструктуру, системы идентификации и пути развертывания |
| Секреты GitHub Actions | Среды CI/CD | Могут предоставить доступ к автоматизации, результатам сборки, развертываниям и нижестоящим секретам |
| Инструменты ИИ / файлы конфигурации | Каталоги проектов, локальные среды разработки | Могут раскрыть ключи API, внутренние конечные точки, настройки моделей и связанные учетные данные |
Bitwarden обслуживает более 50 000 предприятий и 10 миллионов пользователей, а его собственная документация описывает CLI как «мощный, полнофункциональный» способ доступа к хранилищу и управления им, в том числе в автоматизированных рабочих процессах, которые проходят аутентификацию с использованием переменных среды.
Bitwarden указывает npm как самый простой и предпочтительный метод установки для пользователей, уже знакомых с реестром. Такое сочетание использования автоматизации, установки на машины разработчиков и официального распространения через npm помещает CLI именно туда, где часто хранятся высокоценные инфраструктурные секреты.
Анализ JFrog показывает, что вредоносный пакет перенаправил как хук предварительной установки (preinstall hook), так и точку входа бинарного файла bw к загрузчику, который извлекал среду выполнения Bun и запускал обфусцированную полезную нагрузку. Компрометация срабатывает во время установки и во время выполнения.
Организация могла запустить бэкдоренный CLI, не затрагивая сохраненные пароли, в то время как вредоносное ПО систематически собирало учетные данные, управляющие ее конвейерами CI, облачными учетными записями и автоматизацией развертывания.
Фирма по безопасности Socket сообщает, что атака, по-видимому, использовала скомпрометированное действие GitHub в конвейере CI/CD Bitwarden, что соответствует модели, которую отслеживают исследователи Checkmarx.
Bitwarden подтвердила, что инцидент связан с более широкой кампанией по цепочке поставок Checkmarx.
Узкое место доверия
Npm создал свою модель доверенной публикации для решения именно такого класса рисков.
Заменяя долгоживущие токены публикации npm аутентификацией CI/CD на основе OIDC, система устраняет один из наиболее распространенных путей, которые используют злоумышленники для угона релизов реестра. Npm рекомендует доверенную публикацию и рассматривает ее как значительный шаг вперед.
Более сложной областью является сама логика выпуска, такая как рабочие процессы и действия, которые вызывают шаг публикации. Собственная документация npm рекомендует меры контроля, выходящие за рамки OIDC, такие как среды развертывания с требованиями ручного утверждения, правила защиты тегов и ограничения веток.
| Уровень в цепочке доверия | Что он должен гарантировать | Что все еще может пойти не так |
|---|---|---|
| Исходный репозиторий | Предполагаемый кодовой базы находится в ожидаемом репозитории | Злоумышленникам может никогда не понадобиться напрямую изменять основную кодовую базу |
| Рабочий процесс CI/CD | Автоматизирует сборку и выпуск из репозитория | В случае компрометации он может создать и опубликовать вредоносный артефакт |
| Действия GitHub / логика выпуска | Выполняет шаги по сборке и публикации программного обеспечения | Отравленное действие или скомпрометированный рабочий процесс могут сделать легитимный путь выпуска вредоносным |
| Доверенная публикация OIDC | Заменяет долгоживущие токены реестра на аутентификацию на основе удостоверений с коротким сроком действия | Это доказывает, что авторизованный рабочий процесс опубликовал пакет, а не то, что сам рабочий процесс был безопасным |
| Официальный путь пакета npm | Распространяет программное обеспечение под ожидаемым именем пакета | Пользователи все еще могут получить вредоносное ПО, если скомпрометирован официальный путь публикации |
| Машина разработчика / раннер CI | Потребляет официальный пакет | Вредоносное ПО во время установки или выполнения может собирать локальные, облачные и автоматизационные секреты |
Настройки среды GitHub позволяют организациям требовать подписи рецензентов, прежде чем рабочий процесс сможет развернуть. Фреймворк SLSA идет дальше, требуя от потребителей проверки того, что происхождение (provenance) соответствует ожидаемым параметрам, таким как правильный репозиторий, ветка, тег, рабочий процесс и конфигурация сборки.
Инцидент с Bitwarden показывает, что более сложная проблема находится на уровне рабочего процесса. Если злоумышленник может использовать уязвимость в рабочем процессе выпуска, вредоносный пакет все равно будет сопровождаться «официальной» меткой.
Доверенная публикация перекладывает бремя доверия на целостность рабочих процессов и действий, которые ее вызывают, — уровень, который организации в значительной степени оставили без внимания.
Один токен для многих дверей
Для команд разработчиков и инфраструктуры скомпрометированный рабочий процесс выпуска подвергает риску конвейеры CI, инфраструктуру автоматизации и учетные данные, которые ими управляют.
Анализ JFrog показывает, что как только вредоносное ПО получило токен GitHub, оно могло проверить токен, перечислить доступные для записи репозитории, перечислить секреты GitHub Actions, создать ветку, зафиксировать рабочий процесс, дождаться его выполнения, загрузить полученные артефакты, а затем очистить следы.
Получение токена создает автоматизированную цепочку, которая превращает один украденный учетный данные в постоянный доступ ко всей инфраструктуре автоматизации организации.
Ноутбук разработчика, на котором установлен отравленный официальный пакет, становится мостом от локального хранилища учетных данных хоста к доступу GitHub ко всему, до чего может добраться этот токен GitHub.
Инцидент с Bybit является близкой структурной аналогией. Скомпрометированная рабочая станция разработчика позволила злоумышленникам отравить доверенный вышестоящий интерфейс, который затем достиг операционного процесса жертвы.
Разница в том, что инцидент с Bybit включал измененный веб-интерфейс Safe, в то время как инцидент с Bitwarden включал измененный официальный пакет npm.
В средах, связанных с криптовалютой, финтехом или хранением активов, этот путь может проходить от хранилища учетных данных к подписантам выпуска, облачному доступу и системам развертывания, никогда не затрагивая записи хранилища.
В течение 60 дней Checkmarx раскрыла скомпрометированные рабочие процессы GitHub Actions и плагины OpenVSX, в то время как Cloud Security Alliance предупредила, что кампания TeamPCP активно компрометирует проекты с открытым исходным кодом и компоненты автоматизации CI/CD.
JFrog задокументировала, как скомпрометированное действие Trivy GitHub Action эксфильтровало токен публикации LiteLLM и позволило вредоносные выпуски PyPI, а Axios сообщила, что две вредоносные версии npm циркулировали около трех часов через скомпрометированную учетную запись сопровождающего.
Sonatype насчитала более 454 600 новых вредоносных пакетов только за 2025 год, доведя общее число до более чем 1,2 миллиона. Bitwarden присоединяется к цепочке инцидентов, подтверждающих, что рабочие процессы выпуска и реестры пакетов являются основной поверхностью атаки.
| Дата / период | Инцидент | Скомпрометированная точка доверия | Почему это важно |
|---|---|---|---|
| 23 марта 2026 г. | Checkmarx раскрыла скомпрометированные рабочие процессы GitHub Actions и плагины OpenVSX | Рабочие процессы GitHub Actions, распространение инструментов разработчика | Показывает, что злоумышленники нацелены на вышестоящую автоматизацию и доверенные каналы инструментов |
| В рамках той же кампании | Цепочка Trivy / LiteLLM, задокументированная JFrog | Скомпрометированное действие GitHub, ведущее к краже токена и вредоносным выпускам PyPI | Демонстрирует, как один отравленный компонент автоматизации может каскадно привести к злоупотреблению публикацией пакетов |
| 31 марта 2026 г. | Вредоносные версии npm Axios | Скомпрометированная учетная запись сопровождающего | Показывает, что официальные имена пакетов могут стать векторами атаки через компрометацию на уровне учетной записи |
| 22 апреля 2026 г. | Вредоносный выпуск CLI Bitwarden в npm | Официальный путь распространения npm для инструмента безопасности | Показывает, что доверенный пакет может раскрыть инфраструктурные секреты, не затрагивая содержимое хранилища |
| Итоги 2025 г. | Количество вредоносного ПО по Sonatype | Экосистема пакетов с открытым исходным кодом в целом | Указывает на масштаб активности вредоносных пакетов и почему доверие к реестру теперь является стратегическим риском |
Точная первопричина пока не обнародована, поскольку Bitwarden подтвердила связь с кампанией Checkmarx, но не опубликовала подробного анализа того, как злоумышленник получил доступ к конвейеру выпуска.
Последствия атаки
Самый сильный результат для защитников заключается в том, что этот инцидент ускоряет переопределение того, что означает «официальный».
Сегодня доверенная публикация прикрепляет данные о происхождении к каждому выпущенному пакету, тем самым подтверждая личность издателя в реестре. SLSA явно документирует более высокий стандарт для верификаторов, чтобы проверить, соответствует ли происхождение ожидаемому репозиторию, ветке, рабочему процессу и параметрам сборки.
Если этот стандарт станет поведением потребителя по умолчанию, «официальный» начнет означать «собранный правильным рабочим процессом в соответствии с правильными ограничениями», и злоумышленник, который компрометирует действие, но не может удовлетворить все ограничения происхождения, создает пакет, который автоматизированные потребители отклонят до его попадания.
Более вероятный краткосрочный путь идет в противоположном направлении. Злоумышленники продемонстрировали как минимум в 4 инцидентах за 60 дней, что рабочие процессы выпуска, зависимости действий и учетные данные, связанные с сопровождающими, дают высокоценные результаты с относительно низким уровнем трения.
Каждый последующий инцидент добавляет еще одну задокументированную технику в публичный набор действий по компрометации действий, краже токенов из вывода CI, угону учетных записей сопровождающих и злоупотреблению путем доверенной публикации.
Если проверка происхождения не станет поведением потребителя по умолчанию, а останется необязательным уровнем политики, официальные имена пакетов будут пользоваться большим доверием, чем могут оправдать их процессы выпуска.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gino Matos
