慢雾首席信息安全长 23pds 转发 Bitwarden 安全团队警告，Bitwarden CLI 2026.4.0 版本曾于 4 月 22 日美东时间下午 5:57 至 7:30 的 1.5 小时内，通过 npm 发布被篡改的 npm 版本已被撤回，Bitwarden 官方确认密码金库数据和生产系统未受影响。

攻击详情：bw1.js 恶意负载的窃取目标

恶意负载在 npm 包安装期间静默运行，收集以下类型的数据：

· GitHub 和 npm Token

· SSH 金钥

· 环境变量

· Shell 历史记录

· 云端凭证

· 加密钱包文件（包括 MetaMask、Phantom 和 Solana 钱包）

被盗数据被泄露至攻击者控制的域名，并以持久化机制提交至 GitHub 仓库。许多加密货币团队在 CI/CD 自动化流程中使用 Bitwarden CLI 进行密钥注入和部署，任何运行过被入侵版本的流程都可能泄露高价值的钱包密钥和交易所 API 凭证。

受影响用户的紧急应对步骤

仅在 4 月 22 日美东时间 5:57 至 7:30 窗口内通过 npm 安装 2026.4.0 版本的用户需采取以下行动：立即卸载 2026.4.0 版本；清理 npm 缓存；轮换所有 API Token 和 SSH 金钥等敏感凭证；检查 GitHub 和 CI/CD 流程的异常活动；升级至已修复的 2026.4.1 版本（或降级至 2026.3.0，或从 Bitwarden 官网下载官方签署的二进制文件）。

攻击背景：npm 可信发布机制首次遭利用

安全研究员 Adnan Khan 指出，此次攻击是已知首次利用 npm 可信发布机制入侵软件包的案例。此次攻击与 TeamPCP 供应链攻击活动有关，自 2026 年 3 月以来，TeamPCP 已对安全工具 Trivy、代码安全平台 Checkmarx 和 AI 工具 LiteLLM 发动了类似攻击，目标是嵌入在 CI/CD 构建流程中的开发者工具。

常见问题

如何确认自己是否安装了受影响的 2026.4.0 版本？

可运行 npm list -g @bitwarden/cli 查看已安装的版本。若显示 2026.4.0 且安装时间在 4 月 22 日美东时间 5:57 至 7:30 之间，需立即采取应对措施。即使不确定安装时间，也建议主动轮换所有相关凭证。

Bitwarden 的密码金库数据是否泄露？

没有。Bitwarden 官方确认，用戶密码金库数据和生产系统均未受到损害。此次攻击仅影响 CLI 的构建过程，攻击目标是开发者凭证和加密钱包文件，而非 Bitwarden 平台的用户密码数据库。

TeamPCP 供应链攻击活动的更广泛背景是什么？

TeamPCP 自 2026 年 3 月起针对开发者工具发动了系列供应链攻击，受害目标包括 Trivy、Checkmarx 和 LiteLLM。此次对 Bitwarden CLI 的攻击是同一系列活动的一部分，目标是嵌入在 CI/CD 构建流程中的开发者工具，以在自动化管道中窃取高价值凭证。

免责声明：本页面信息可能来自第三方，不代表 Gate 的观点或意见。页面显示的内容仅供参考，不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证，对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为，价格波动剧烈，您可能损失全部投资本金。请充分了解相关风险，并根据自身财务状况和风险承受能力谨慎决策。具体内容详见声明。

在黑客声称 300K+ 记录遭入侵后，Polymarket 否认数据泄露指控

预测市场安全事件

根据 Polymarket 的官方声明，预测市场平台已否认近期有关其遭遇数据泄露的指控，称目前流传的信息涉及公开的 API 端点以及链上区块链数据。使用化名 "xorcat" 的一名黑客声称其已

GateNews2小时前

HKMA Warns of Fraudulent Tokens Impersonating Licensed Stablecoin Issuers on April 28

执法行动安全事件

The Hong Kong Monetary Authority (HKMA) issued a public warning on April 28 regarding fraudulent digital tokens circulating under the names of two newly licensed stablecoin issuers. Tokens carrying the tickers "HKDAP" and "HSBC" have appeared in the market without authorization from Anchorpoint

GateNews5小时前

Zondacrypto Customer Data Offered for Sale on Darknet for 550 Euros and 0.6 BTC

比特币新闻安全事件平台风险

据 Bitcoin.pl 称，已倒闭的波兰交易所 Zondacrypto 的客户数据已在暗网上被提供出售，共有两种套餐可选。较小的套餐包含电子邮件地址和基本身份识别数据，售价约为 550 欧元；而较大的数据集——包括身份证件扫描件、验证自拍照、登录历史记录以及钱包地址——费用约为 0.6 BTC。此次数据泄露发生在 Zondacrypto 本月因流动性问题和储备耗尽而停止提现之后。安全专家警告称，这份完整的数据集可被网络犯罪分子用来实施身份欺诈、开设未获授权的银行账户，或申请贷款。受影响用户被建议更改密码，并启用双重身份验证。

GateNews8小时前

Aftermath Finance 被黑：在 Sui Network 上 36 分钟内盗走 110 万 USDC

项目进展安全事件

据 Blockaid 称，Aftermath Finance 在 Sui Network 上的永续合约协议遭遇了持续攻击，约 110 万 USDC 通过 11 笔交易在 36 分钟内被盗走。该漏洞源自永续合约清算系统中的费用核算缺陷，该缺陷使攻击者能够夸大合成抵押品并从协议的金库中提取资金。

GateNews9小时前

伪装为 AI 工具的 30 个恶意插件在 ClawHub 上被下载超过 9,800 次

安全事件 AI 行业动态

据 Manifold 研究员 Ax Sharma 称，ClawHub 上共有 30 个以合法 AI 工具为幌子的插件已被下载超过 9,800 次，同时在暗中将用户的 AI 助手转换为加密货币劳工。这些插件由账号 imaflytok 发布，看起来像常规的任务调度器和监控工具，但其中包含会执行未经授权操作的隐藏指令。一旦安装，这些插件会自动将用户的 AI 助手注册到第三方服务器，生成加密货币钱包，并在未经用户同意或告知的情况下提取私钥。随后，这些助手每 4 小时“报到”一次，等待任务分配。Sharma 指出，这些插件不包含安全扫描器可检测到的恶意代码，仅使用标准接口和合法工具，因此很难通过常规安全审查识别出来。

GateNews9小时前

0/400

暂无评论