北京
「信任是供应链攻击的唯一武器。」当Bitwarden的CLI工具在4月22日自动分发恶意代码时,这句话得到了残酷验证。
导读
全球超1000万用户、5万家企业信赖的密码管理器,竟成了窃取密钥的"特洛伊木马"。攻击者没有钓鱼,没有社工,而是大摇大摆走进CI/CD管道,让Bitwarden自己的发布机制替他们完成了 malware 分发。
这不是假设。版本@bitwarden/cli@2026.4.0在93分钟内持续投毒,而开发者浑然不觉——毕竟,谁会怀疑自己每天运行的官方工具?
攻击路径:走后门,而非破前门
Bitwarden CLI在开发者环境中享有特权地位:密钥注入、自动化部署、CI/CD流水线核心组件。攻击者正是看中这一点。
他们利用GitHub Actions工作流的漏洞潜入,手法与Checkmarx供应链攻击campaign如出一辙——窃取凭证、注入恶意工作流、在构建输出中夹带私货。Security Boulevard报道显示,该威胁组织自2026年3月起便活跃至今。
恶意代码藏身bw1.js文件,安装即运行,悄无声息收割GitHub token、npm凭证、SSH密钥、环境变量。
为何防不胜防?
供应链攻击的可怕之处,在于它劫持的是"信任"本身。开发者以root权限运行这些工具,系统主动放行,安全软件视若无睹。
Socket、JFrog、Ox Security和StepSecurity的研究人员联合追踪到此攻击,但发现时,93分钟的窗口期已造成不可估量的暴露面。
一个反问
当你运行npm install时,你确定安装的只是你看到的代码?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
