Кампания по атаке на цепочку поставок Checkmarx затронула Bitwarden. Исследователи из JFrog и Socket обнаружили вредоносный код в версии @bitwarden/cli@2026.4.0 менеджера паролей. Файл bw1.js содержит вредоносную нагрузку, эксплуатирующую уязвимости в процессе распространения. Пользователям настоятельно рекомендуется проверить свои установки и перейти на безопасную версию для снижения рисков.
Технические детали вредоносного кода в bw1.js 🛡️
Атака внедрила обфусцированный скрипт в пакет npm Bitwarden CLI, а именно в bw1.js. Этот код при выполнении мог похищать учетные данные и токены доступа, хранящиеся локально. Метод использует доверие к экосистеме npm, где разработчики загружают пакеты, не проверяя их целостность. Скомпрометированная версия 2026.4.0 распространялась в течение короткого периода, прежде чем была обнаружена. Исследователи рекомендуют проверять журналы установки и использовать контрольные суммы для подтверждения подлинности программного обеспечения.
Твой менеджер паролей теперь также управляет рисками 😅
Потому что ничто так не говорит о доверии, как узнать, что твой менеджер паролей, тот самый, который хранит ключи от банка и Netflix, теперь также содержит вредоносный код. Bitwarden, инструмент, обещавший сохранить твои данные в безопасности, превратился в почтальона, доставляющего бомбы. Хуже всего то, что вредоносное ПО проникло через черный ход npm, того самого места, где все скачивают свои зависимости, как на барахолке. По крайней мере, у атакующих хватило приличия правильно пометить свой продукт: 2026.4.0 — версия, которую ты точно запомнишь.