文章摘要
Bitwarden CLI密码管理工具在持续进行的Checkmarx供应链攻击中遭到入侵,受影响版本为2026.4.0,攻击者通过入侵GitHub Actions工作流植入恶意代码。该工具服务于超千万用户和5万家企业,是主流密码管理软件之一。
文章总结
标题:Bitwarden CLI在持续进行的Checkmarx供应链攻击中遭入侵
内容概述: Socket安全研究人员发现,开源密码管理器Bitwarden的命令行工具(CLI)在持续的Checkmarx供应链攻击活动中遭到入侵。该密码管理器拥有超过1000万用户和5万家企业用户,是企业采用率排名前三的密码管理工具之一。
受影响版本为@bitwarden/cli2026.4.0,恶意代码存在于软件包中的bw1.js文件。攻击者疑似利用了Bitwarden持续集成/持续交付(CI/CD)流程中被入侵的GitHub Action,这与该活动中其他受影响代码库的模式一致。
关键发现: - Bitwarden CLI版本受到影响 - 攻击方式与Checkmarx供应链攻击中发现的GitHub Actions攻击向量一致
技术分析显示,恶意文件bw1.js与之前分析的Checkmarx攻击中的mcpAddon.js共享核心基础设施,包括: 1. 相同的C2端点 2. 类似的数据窃取技术(通过GitHub API和npm注册表) 3. 针对各类凭证的窃取能力 4. 独特的"沙丘"主题命名方式 5. 俄语区域设置的"终止开关"
值得注意的是,此次攻击还包含一些新特征: - 使用/tmp/tmp.987654321.lock文件防止多实例运行 - 在shell配置文件中植入持久化代码 - 包含明显的意识形态品牌标识
安全建议: 1. 立即移除受影响软件包 2. 轮换所有可能暴露的凭证 3. 检查GitHub和npm中的异常活动 4. 监控终端和运行器上的可疑行为 5. 实施长期控制措施降低未来风险
受影响指标(IOCs): - 恶意软件包:@bitwarden/cli2026.4.0
(注:原文中的图片链接、部分技术细节和营销内容已省略,保留了核心安全事件信息和关键细节)
评论总结
评论总结:
供应链攻击问题
- 主要观点:GitHub Actions再次出现供应链攻击事件,引发对软件供应链安全的担忧。
- 关键引用:
- "Another day, another supply chain attack involving GitHub Actions." (nozzlegear)
- "It seems like we've have non-stop supply chain attacks for months now?" (fraywing)
Bitwarden CLI的安全隐患
- 主要观点:用户报告Bitwarden CLI存在严重安全问题,如意外泄露密码和TOTP码,且部分问题难以解决。
- 关键引用:
- "I had a really bad experience with the bitwarden cli... it listed everything, including passwords and current totp codes." (1024kb)
- "I promptly removed the bw cli programme after that, and I definitely won't be installing it again." (1024kb)
对NPM生态系统的批评
- 主要观点:NPM生态系统依赖过多,增加了供应链攻击的风险,建议使用其他语言(如Go或Rust)替代。
- 关键引用:
- "Once again, it is in the NPM ecosystem... Happens less with languages that have better standard libraries such as Go." (rvz)
- "Writing a cli with JavaScript? No thank you." (isatty)
本地化解决方案的偏好
- 主要观点:部分用户转向本地化工具(如KeePass或pass)以避免依赖第三方服务的安全风险。
- 关键引用:
- "KeePass users continue to live the stress free live... by using KeePass locally on my own infra." (mobeigi)
- "Use pass or gopass for all your CLI tokens and sync them via a private git repo." (wooptoo)
对自动更新的质疑
- 主要观点:强制自动更新可能带来安全隐患,用户更倾向于手动控制更新。
- 关键引用:
- "Incidents like this should hopefully cause a rollback of this dumb system of forcefully and frequently updating people's software without explicit consent." (hgoel)
- "Keep the password manager as a separate desktop app and turn off auto update." (wooptoo)
对浏览器扩展的担忧
- 主要观点:用户担心浏览器扩展也可能被攻击,并寻求预防措施。
- 关键引用:
- "Never used the CLI, but I do use their browser plugin. Would be quite a mess if that got compromised." (flossly)
- "So how likely is that these compromises will start affecting the non-cli and non-open-source tools?" (sega_sai)
对JavaScript生态的批评
- 主要观点:JavaScript生态系统被批评为不安全,建议限制其在新开发中的使用。
- 关键引用:
- "I think it’s time they go one step further and ban new development in JavaScript. Horrible language horrible ecosystem and horrible vulns." (nothinkjustai)
- "Although the Rust ecosystem is moving in NPM's direction... you still need to trust far fewer authors." (ruuda)
对未来的悲观情绪
- 主要观点:部分用户对软件供应链安全的未来感到悲观,认为依赖第三方工具的风险越来越高。
- 关键引用:
- "It honestly feels like everything is slowly starting to collapse." (fnoef)
- "I've dramatically decreased my reliance on third-party packages and tools in my workflow." (post-it)
对Bitwarden的替代方案
- 主要观点:用户转向其他工具(如Apple Passwords或自定义解决方案)以规避Bitwarden的问题。
- 关键引用:
- "I switched from Bitwarden to Apple Passwords a few months ago, despite its worse feature set." (post-it)
- "I wonder if 1Password CLI is a top priority for hackers similarly." (DiffTheEnder)
讽刺与批评
- 主要观点:部分用户对安全公司(如Checkmarx)和GitHub Actions的安全性提出讽刺。
- 关键引用:
- "The irony! The security 'solution' is so often the weak link." (masfuerte)
- "How's securing GitHub Action going for them?" (fnoef)
总结:
评论主要围绕Bitwarden CLI的安全问题、NPM生态系统的风险、供应链攻击的普遍性以及对本地化工具的偏好展开。用户对自动更新、JavaScript生态系统和第三方依赖的批评较为集中,部分人转向替代方案或自定义解决方案以降低风险。整体情绪偏向担忧和悲观,部分用户对未来的软件安全持怀疑态度。