Phó trưởng an ninh thông tin của công ty Mists (Slow Mist) 23pds đã chuyển tiếp cảnh báo của nhóm bảo mật Bitwarden. Phiên bản Bitwarden CLI 2026.4.0 đã từng bị chèn sửa phiên bản npm độc hại được phát hành qua npm trong khoảng 1,5 giờ từ 5:57 đến 7:30 chiều ngày 22 tháng 4 (giờ miền Đông Hoa Kỳ); phiên bản đã bị rút lại. Bitwarden chính thức xác nhận dữ liệu kho mật khẩu và hệ thống sản xuất không bị ảnh hưởng.
Chi tiết cuộc tấn công: Mục tiêu đánh cắp của tải trọng độc hại bw1.js
Tải trọng độc hại lặng lẽ chạy trong quá trình cài đặt gói npm, thu thập các loại dữ liệu sau:
· GitHub và Token npm
· Khóa SSH
· Biến môi trường
· Lịch sử Shell
· Thông tin xác thực đám mây
· Tài liệu ví tiền mã hóa (bao gồm MetaMask, Phantom và ví Solana)
Dữ liệu bị đánh cắp được rò rỉ tới các miền do kẻ tấn công kiểm soát và được gửi kèm cơ chế duy trì đến kho GitHub. Nhiều nhóm tiền mã hóa sử dụng Bitwarden CLI trong các quy trình tự động hóa CI/CD để chèn khóa và triển khai; bất kỳ quy trình nào đã chạy phiên bản bị xâm nhập đều có thể làm lộ các khóa ví có giá trị cao và thông tin xác thực API của sàn giao dịch.
Các bước ứng phó khẩn cấp cho người dùng bị ảnh hưởng
Chỉ những người đã cài đặt phiên bản 2026.4.0 thông qua npm trong khung thời gian từ 5:57 đến 7:30 chiều ngày 22 tháng 4 (giờ miền Đông Hoa Kỳ) cần thực hiện các hành động sau: gỡ cài đặt ngay phiên bản 2026.4.0; xóa bộ nhớ đệm npm; xoay vòng tất cả thông tin xác thực nhạy cảm như API Token và SSH Key; kiểm tra hoạt động bất thường trong quy trình GitHub và CI/CD; nâng cấp lên phiên bản 2026.4.1 đã được vá (hoặc hạ cấp về 2026.3.0, hoặc tải xuống các tệp nhị phân chính thức được ký chính thức từ trang web chính thức của Bitwarden).
Bối cảnh cuộc tấn công: Cơ chế phát hành tin cậy của npm lần đầu bị lợi dụng
Nhà nghiên cứu bảo mật Adnan Khan cho biết, cuộc tấn công này là một trong những trường hợp được biết đến đầu tiên lợi dụng cơ chế phát hành tin cậy của npm để xâm nhập các gói phần mềm. Cuộc tấn công này có liên quan đến hoạt động tấn công chuỗi cung ứng của TeamPCP. Từ tháng 3 năm 2026, TeamPCP đã tiến hành các cuộc tấn công tương tự nhằm vào công cụ bảo mật Trivy, nền tảng bảo mật mã Checkmarx và công cụ AI LiteLLM, với mục tiêu cài công cụ dành cho nhà phát triển vào quy trình xây dựng CI/CD.
Câu hỏi thường gặp
Làm thế nào để xác nhận mình đã cài đặt phiên bản 2026.4.0 bị ảnh hưởng hay chưa?
Có thể chạy lệnh npm list -g @bitwarden/cli để xem các phiên bản đã cài đặt. Nếu hiển thị 2026.4.0 và thời điểm cài đặt nằm trong khoảng từ 5:57 đến 7:30 chiều ngày 22 tháng 4 (giờ miền Đông Hoa Kỳ), cần thực hiện ứng phó ngay lập tức. Dù không chắc về thời điểm cài đặt, vẫn khuyến nghị chủ động xoay vòng tất cả các thông tin xác thực liên quan.
Dữ liệu kho mật khẩu của Bitwarden có bị rò rỉ không?
Không. Bitwarden chính thức xác nhận rằng dữ liệu kho mật khẩu của người dùng và hệ thống sản xuất đều không bị ảnh hưởng. Cuộc tấn công này chỉ tác động đến quá trình xây dựng của CLI; mục tiêu của cuộc tấn công là thông tin xác thực dành cho nhà phát triển và tài liệu ví tiền mã hóa, chứ không phải cơ sở dữ liệu mật khẩu người dùng của nền tảng Bitwarden.
Bối cảnh rộng hơn của hoạt động tấn công chuỗi cung ứng TeamPCP là gì?
Kể từ tháng 3 năm 2026, TeamPCP đã phát động một loạt các cuộc tấn công chuỗi cung ứng nhằm vào các công cụ dành cho nhà phát triển. Các mục tiêu bị hại bao gồm Trivy, Checkmarx và LiteLLM. Cuộc tấn công vào Bitwarden CLI này là một phần của cùng một chuỗi hoạt động, nhằm cài các công cụ dành cho nhà phát triển vào quy trình xây dựng CI/CD để đánh cắp các thông tin xác thực có giá trị cao trong các đường ống tự động hóa.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Litecoin Trải Qua Tái Tổ Chức Chuỗi Sâu để Loại Bỏ Việc Bị Khai Thác Lớp Bảo Mật MWEB
Tin tức Gate, ngày 26 tháng 4 — Litecoin đã trải qua một đợt tái tổ chức chuỗi sâu (reorg) vào thứ Bảy sau khi kẻ tấn công khai thác một lỗ hổng zero-day trong lớp bảo mật quyền riêng tư của Khối Tiện ích Mở rộng MimbleWimble (MWEB), theo
GateNews18phút trước
Apecoin Insider Biến $174K Thành 2,45 triệu USD trong 1 ngày với giao dịch 14x ở cả hai phía của đợt tăng 80%
Một ví ẩn danh không có lịch sử giao dịch trước đó đã biến 174.000 USD trị giá ether thành 2,45 triệu USD bằng cách giao dịch Apecoin ở cả hai phía của một đợt tăng giá 80% trong vòng một ngày.
Các ý chính:
Ví 0x0b8a đã chuyển 174.000 USD ETH thành một lệnh long Apecoin có đòn bẩy, thoát gần mức đỉnh để thu về 1,79M
Coinpedia51phút trước
Cảnh sát Hồng Kông triệt phá đường dây lừa đảo xuyên biên giới nhắm vào sinh viên ở nước ngoài, thu giữ tài sản trị giá HK$5M
Tin tức Cổng, ngày 26 tháng 4 — Cảnh sát Hồng Kông đã triệt phá một đường dây lừa đảo xuyên biên giới nhắm vào các sinh viên người Hoa ở nước ngoài đang du học, theo truyền thông địa phương. Tổ chức này mạo danh các quan chức thực thi pháp luật và ép nạn nhân đến Hồng Kông để mua các thỏi vàng với tư cách là "c
GateNews1giờ trước
Litecoin Reorg Hoàn Tác Khai Thác Lớp Riêng Tư MWEB
Litecoin đã trải qua một đợt tái tổ chức chuỗi sâu (deep chain reorganization) vào Thứ Bảy sau khi các kẻ tấn công khai thác một lỗ hổng zero-day trong lớp quyền riêng tư MimbleWimble Extension Block (MWEB), theo Quỹ Litecoin (Litecoin Foundation). Sự cố đã dẫn đến một đợt reorg kéo dài ba giờ đã xóa các giao dịch không hợp lệ khỏi chuỗi
CryptoFrontier6giờ trước
Lừa đảo trại máy tính Laptop Farm của các nhà phát triển IT Triều Tiên: Đồng phạm tại Mỹ bị tuyên 7-9 năm, trong hai năm thu về tổng cộng 2,8 tỷ USD
Fortune đưa tin Triều Tiên thông qua các trang trại máy tính xách tay trong lãnh thổ Mỹ, trong hai năm tích lũy khoảng 2,8 tỷ USD doanh thu để hỗ trợ vũ khí hạt nhân; khoản cống năm là 250–600 triệu USD. Hai bị cáo người Mỹ Kejia Wang và Zhenxing Wang lần lượt bị tuyên án 7,5 năm và 9 năm, liên quan đến hơn 100 công ty và 80 người bị giả mạo danh tính. Triều Tiên vận hành tại Mỹ thông qua danh tính Mỹ và các thiết bị cố định, trong đó phần lớn tiền được chuyển đổi qua kết hối bằng tiền mã hóa. Các chuyên gia cảnh báo rằng mạng lưới đồng phạm trong nước vẫn còn tồn tại; các doanh nghiệp cần tăng cường xác thực danh tính, theo dõi địa chỉ và phân tích múi giờ/IP.
ChainNewsAbmedia10giờ trước
Cảnh sát Hồng Kông cảnh báo làn sóng lừa đảo tiền mã hóa gia tăng; Hai phụ nữ mất 1,24 triệu USD trong những tuần gần đây
Tin tức Gate, ngày 25 tháng 4 — Hai phụ nữ ở Hồng Kông đã mất tổng cộng 9,7 triệu HK$ (US$1,24 triệu) cho các kẻ lừa đảo tiền mã hóa trong những tuần gần đây, khiến cảnh sát địa phương đưa ra cảnh báo công khai. Cảnh sát Hồng Kông cho biết có hơn 80 vụ lừa đảo trong chỉ một tuần, với tổng thiệt hại vượt quá HK$80 triệu (U
GateNews10giờ trước
