Ad
Ad
#安全资讯 密码管理器 Bitwarden 发布 CLI 软件被黑公告,持续时间约 1 小时 33 分钟,在特定时间段内安装或更新 bitwarden/[email protected] 的用户需立即检查。被黑时国内时间为 4 月 23 日 05:57~07:30,这个时间段内大家可能刚起床不太可能会安装或更新 NPM,所以被黑概率可能比较小。查看详情:https://ourl.co/112795
前文蓝点网提到密码管理器 Bitwarden 的 CLI 命令行工具软件包遭到供应链攻击,黑客通过 Checkmarx 等工具盗取开发者凭证,随后在 NPM 平台发布携带恶意代码的软件包,涉及的软件包名称和版本为 bitwarden/[email protected] 版。
现在这款密码管理器已经发布简短的安全公告,初步调查显示 Bitwarden 生产环境和用户存储数据全部安全,被窃取的开发者凭证目前已经被撤销访问权限,相关恶意软件包也被下架并立即发布新版本。
此次黑客投放恶意软件包持续时间为 1 小时 33 分钟,也就是在这个时间窗口内安装或更新 Bitwarden CLI 版的用户面临安全风险,这些用户需要立即吊销所有可能受影响的凭证、检查各类资源访问记录,必要时最好直接重装整个开发环境。
软件包被黑持续时间如下:
- 美国东部时间:2026 年 4 月 22 日 17:57~19:30
- 太平洋时间:2026 年 4 月 22 日 14:57~16:30
- 世界协调时:2026 年 4 月 22 日 21:57~23:30
- 东八区时间:2026 年 4 月 23 日 05:57~07:30
对国内用户和开发者而言,此次被黑时间为早晨,这个点可能大家刚起床所以不太可能安装或更新软件包,所以可能受影响的概率非常低,不过即便如此开发者也需要检查 NPM 相关日志看看 2026.4.0 版安装时间,确保该版本并非最近 1~2 天安装的。
临时应对方案如下:
- 立即卸载 Bitwarden CLI 2026.4.0 版:npm uninstall -g @bitwarden/cli
- 立即清除 NPM 缓存:npm cache clean --force
- 基于安全考虑建议临时禁用 NPM 安装脚本:npm config set ignore-scripts true
之后开发者需要轮换所有可能已经暴露或者存储在环境变量中的任何机密信息,包括 SSH 密钥和 API 令牌等,同时也要检查这些 SSH 密钥对应服务器或 API 令牌对应资源的访问记录,有可能这些资源也已经遭到感入侵,所以需要按照链条进行全方位的排查。
例如需要检查 GitHub 相关活动日志、检查 CI/CD 工作流和相关凭证,检查是否存在异常时间的登录或连接记录,只要发现异常说明可能已经被黑 (但没发现不代表没被黑),开发者需要做好应对措施。