Checkmarx供应链攻击已波及Bitwarden。JFrog和Socket的研究人员在密码管理器版本@bitwarden/cli@2026.4.0中检测到恶意代码。文件bw1.js包含有害载荷,利用了分发过程中的漏洞。建议用户验证安装并迁移到安全版本以降低风险。
bw1.js中恶意代码的技术细节 🛡️
攻击者在Bitwarden CLI的npm包中插入了一个混淆脚本,具体位于bw1.js。该代码执行后能够窃取本地存储的凭证和访问令牌。该技术利用了开发者对npm生态系统的信任——开发者下载包时往往不验证其完整性。被攻陷的版本2026.4.0在短时间内分发后即被发现。研究人员建议审计安装日志并使用校验和确认软件真实性。
你的密码管理器现在也开始管理风险了 😅
还有什么比得知你的密码管理器——那个存着银行和Netflix密码的工具——现在也开始存储恶意代码更讽刺的呢?Bitwarden,这个承诺保护你数据安全的工具,如今变成了递送炸弹包裹的邮递员。最糟糕的是,恶意软件是通过npm的后门潜入的,而npm正是所有人像逛跳蚤市场一样随意下载依赖的地方。至少攻击者还算体面地给产品贴上了标签:2026.4.0,这个版本你一定会记住。