Bitwarden CLI 遭遇供应链攻击
根据 JFrog 和 Socket 的最新发现,Bitwarden 的命令行工具(CLI)在一起新发现且仍在进行的 Checkmarx 供应链攻击中被入侵。
应用安全公司表示,
受影响的软件包版本似乎为 @bitwarden/[email protected],恶意代码出现在包含在包内的名为“bw1.js”的文件中。
这次攻击似乎利用了 Bitwarden CI/CD 管道中被入侵的 GitHub Action,行为模式与本次活动中其他受影响的代码仓库相同。
在 X 上的一篇帖子中,
JFrog 表示该恶意版本的软件“会窃取 GitHub/npm 的令牌、.ssh 文件、.env 文件、历史命令记录、GitHub Actions 和云密钥,然后将数据泄露到私有域名以及 GitHub 的提交记录中。”虽然现在已经无法从 npm 下载到该恶意版本,但 Socket 表示这次入侵使用的仍是与 Checkmarx 活动中发现的相同的 GitHub Actions 供应链攻击手法。
在这次攻击中,
威胁方利用被盗的 GitHub 令牌注入了一个新的 GitHub Actions 工作流程。该工作流程会窃取运行期间可用的密钥和凭证,并用获取到的 npm 凭证将被篡改的恶意版本包发布到 npm,从而把恶意软件传播给下游用户。
安全研究员阿德南·汗表示,攻击者利用一个恶意的工作流发布了带有恶意代码的 Bitwarden CLI。他补充道:“
我认为这是首次出现利用 NPM 的受信任发布机制来入侵软件包的情况。”
据信名为 TeamPCP 的威胁行为体是这次针对 Checkmarx 的最新攻击的幕后黑手。截至发稿,TeamPCP 在 X上的账号已因违反平台规则被封禁。
OX 安全公司在对此次攻击的详细分析中表示,他们在该包裹中发现了“Shai-Hulud: The Third Coming”这一字符串,这表明这很可能就是去年曝光的供应链攻击行动的下一阶段。
🗒 标签:
#Bitwarden#供应链攻击📢 频道:
@GodlyNews1🤖 投稿:
@GodlyNewsBotvia
Yummy 😋 - Telegram Channel 
