【安全资讯】Bitwarden CLI npm包遭供应链攻击，窃取开发者凭证

概要：

知名密码管理工具Bitwarden的CLI npm包在2026年4月22日遭遇短暂的供应链攻击。攻击者利用被入侵的GitHub Action，向npm平台上传了包含凭证窃取恶意软件的恶意版本（2026.4.0）。该恶意软件不仅窃取npm令牌、GitHub认证令牌、SSH密钥及云服务凭证，还具备自我传播能力，能利用窃取的凭证感染其他项目，对开发者环境构成严重威胁。

主要内容：

本次攻击中，攻击者通过入侵Bitwarden的CI/CD管道中的GitHub Action，向合法的@bitwarden/cli npm包注入了恶意代码。恶意版本在npm上仅存续约1.5小时（美东时间5:57 PM至7:30 PM），但已造成影响。

恶意软件的核心是一个名为bw_setup.js的自定义加载器，它检查系统是否安装Bun运行时，若未安装则自动下载。随后，加载器利用Bun执行混淆后的bw1.js文件，该文件是凭证窃取木马。它使用AES-256-GCM加密窃取的数据，并通过在受害者账户下创建公开GitHub仓库进行外传，仓库名称包含字符串“Shai-Hulud: The Third Coming”，与之前的npm供应链攻击手法一致。

该恶意软件还具备自我传播能力，能利用窃取的npm凭证识别受害者可修改的包并注入恶意代码，扩大攻击范围。安全公司Socket指出，此次攻击与Checkmarx供应链事件存在重叠指标，包括相同的遥测端点、混淆例程及凭证窃取模式，均关联到名为TeamPCP的威胁组织。Bitwarden确认仅npm分发渠道受影响，用户保险库数据未遭泄露，但建议开发者立即轮换所有暴露的凭证。