قام المتسللون باختطاف الإصدار 2026.4.0 من برنامج Bitwarden لإدارة كلمات المرور عبر GitHub Action المخترق، مما أدى إلى إصدار حزمة npm خبيثة تقوم بنشاط بسرقة بيانات محفظة العملات المشفرة وبيانات اعتماد المطورين.
اكتشفت شركة الأمن السيبراني "سوكت" الاختراق في 23 أبريل، وربطته بالحملة المستمرة التي تستهدف سلسلة توريد شركة "تيم بي سي بي". وقد أُزيلت النسخة الخبيثة من برنامج "إن بي إم" لاحقاً.
مخاطر البرامج الضارة على محافظ العملات المشفرة وأسرار التكامل المستمر/التسليم المستمر
تم تنفيذ الحمولة الخبيثة، المضمنة في ملف يسمى bw1.js، أثناء تثبيت الحزمة وجمعت رموز GitHub و npm ومفاتيح SSH ومتغيرات البيئة وسجل shell وبيانات اعتماد السحابة.
وقد تم التأكيد بشكل منفصل أن حملة TeamPCP الأوسع تستهدف بيانات محافظ العملات المشفرة، بما في ذلك الملفات من محافظ MetaMask وPhantom وSolana.
وفقًا لـ JFrog ، تم تسريب البيانات المسروقة إلى نطاقات يتحكم بها المهاجمون، ثم تم تحميلها لاحقًا إلى مستودعات GitHub كآلية للاستمرارية.
تستخدم العديد من فرق العملات المشفرة واجهة سطر الأوامر Bitwarden في مسارات التكامل المستمر/التسليم المستمر الآلية لحقن البيانات السرية ونشرها. أي سير عمل يستخدم النسخة المخترقة كان من الممكن أن يكشف مفاتيح المحافظ ذات القيمة العالية وبيانات اعتماد واجهة برمجة تطبيقات منصات التداول .
وأشار الباحث الأمني عدنان خان إلى أن هذا هو أول اختراق معروف لحزمة تستخدم آلية النشر الموثوقة الخاصة بـ npm، والتي تم تصميمها للقضاء على الرموز المميزة طويلة الأمد.
ما ينبغي على المستخدمين المتضررين فعله
توصي Socket أي شخص قام بتثبيت الإصدار 2026.4.0 من @bitwarden/cli بتدوير جميع الأسرار المكشوفة على الفور.
ينبغي على المستخدمين الرجوع إلى الإصدار 2026.3.0 أو التبديل إلى الملفات الثنائية الموقعة الرسمية المتاحة للتنزيل من موقع Bitwarden الإلكتروني.
منذ مارس 2026، شنت مجموعة TeamPCP هجمات مماثلة ضد Trivy وCheckmarx وLiteLLM، مستهدفة أدوات المطورين المدمجة في خطوط بناء البرامج.
لم تتأثر خزانة Bitwarden الرئيسية. فقط عملية بناء واجهة سطر الأوامر هي التي تعرضت للاختراق .
ظهرت المقالة "هجوم سلسلة التوريد لواجهة سطر الأوامر لـ Bitwarden يعرض مفاتيح محفظة العملات المشفرة للخطر" لأول مرة على BeInCrypto .