資安公司Checkmarx近日遭遇供應鏈攻擊引起關注,然而這起事故的影響範圍持續擴大,傳出有其他公司遭遇類似的攻擊。
資安公司Socket、JFrog、StepSecurity與OX Security,以及獨立研究員Adnan Khan提出警告,密碼管理軟體開發公司Bitwarden推出的NPM套件Bitwarden CLI遭遇供應鏈攻擊,駭客發布了惡意版本2026.4.0,目的是搜刮開發環境的機密資料,其特徵與Checkmarx事故一致,疑似該起攻擊活動的延伸。
Bitwarden當天隨即發布聲明證實此事,該公司在美國東部時間(ET)4月22日晚間5時57分至7時30分,識別惡意套件活動並進行控制,並表明此事與廣泛的Checkmarx供應鏈攻擊事故有關。Bitwarden強調,根據初步調查的結果,終端使用者的密碼保險庫(Vault)資料未出現遭到存取或是曝險的跡象,該公司生產環境的系統與資料也未遭入侵。僅在特定時間下載Bitwarden CLI並安裝的使用者,才會受這事故影響,該公司也準備為本起事故登記CVE編號。
若不慎安裝惡意套件,Bitwarden呼籲應立即透過NPM指令移除,並清除NPM的暫存資料,清理過程應暫時停用NPM安裝指令碼的功能。另外,使用者也要在受影響的開發環境,輪替存放環境參數的API權杖(Token)、SSH金鑰,以及相關的機密資料,並檢查GitHub、CI工作流程是否出現未經授權的存取及變更。
