吳明宜Bitwarden 是最受歡迎的開原密碼管理軟體平台之一,每月下載量超過 25 萬次。 Bitwarden 提供零知識加密 (zero-knowledge encryption) 、密碼分享、政策與憑證管理功能,以確保企業的驗證安全。
本週稍早,多家資安廠商警告,Bitwarden CLI(command-line interface, CLI)NPM 套件遭植入惡意程式碼,會將 JavaScript 程式傳送至使用者機器,藉此竊取憑證與密碼。該惡意套件會從 GitHub 下載 Bun 壓縮檔,解壓縮後釋放惡意 JavaScript 程式。
資安業者 JFrog 指出,此次攻擊主要目標為竊取 Azure 、 AWS 、 GitHub 、 Google Cloud Platform(GCP) 及 NPM 帳密與權杖,還包括 SSH 憑證、 Shell 歷史紀錄與 AI 工具設定,以及 MCP 相關檔案,並透過 HTTPS 連線將資料外洩,或傳送至攻擊者控制的 GitHub 儲存庫 (repository) 。
Bitwarden 已證實此供應鏈攻擊事件,並表示調查後未發現終端使用者密碼儲存庫(Vault 資料)遭未授權存取,亦無營運資料或系統遭破壞的證據。
Checkmarx 供應鏈攻擊關聯
Bitwarden CLI 事件與近期資安公司 Checkmarx 遭遇的供應鏈攻擊存在關聯。 Checkmarx 為應用程式測試與弱點掃描工具供應商,於 4 月 22 日證實其公開 Docker Hub 上的 KICS 映像檔、 public ast-github-action 、 VS Code 擴充功能,以及 Developer Assist 擴充功能均遭入侵。
Checkmarx 呼籲受影響用戶立即更換金鑰與憑證。該事件中,攻擊者植入竊密程式,將竊取到的憑證外洩至其 GitHub 儲存庫。資安業者 Socket 分析指出,Checkmarx 與 Bitwarden 事件在攻擊手法上高度相似,包括使用相同的嵌入架構、憑證竊取技術與惡意程式擴散機制,並具備相同的終止開關 (kill switch) 。
目前已知宣稱發動 Checkmarx 攻擊的是 TeamPCP,而 Bitwarden 事件中則偵測到去年興起、專門針對 NPM 生態系的 Shai-Hulud 蠕蟲。 TeamPCP 自 2024 年起活躍,專門鎖定供應鏈攻擊,曾利用 Aqua Security 旗下漏洞掃描工具 Trivy 入侵,竊取憑證並感染多個開原軟體生態系,包括 NPM 、 Docker Hub 、 Kubernetes 及 OpenVSX 。
Shai-Hulud 則於去年 9 月首次出現,已感染數百個套件。不過目前研究人員尚未確認 Shai-Hulud 與 TeamPCP 之間的直接關聯。
來源:SecurityWeek