השתלטות זדונית על Bitwarden CLI: ארנקי קריפטו בסיכון

#1 · 23/04/2026, 14:47

ציטוט מ מערכת האתר ב 23/04/2026, 14:47

ב-23 באפריל, חברת האבטחה Socket חשפה פריצה חמורה לגרסת CLI של מנהל הסיסמאות Bitwarden, גרסה 2026.4.0. התוקפים השתלטו על המערכת דרך GitHub Action שנפרץ, ופרסמו חבילת npm זדונית שמטרתה לגנוב נתוני ארנקי קריפטו ופרטי זיהוי של מפתחים. הפריצה נקשרה לקמפיין שרשרת האספקה המתמשך של TeamPCP, והחבילה הזדונית הוסרה מאז.

הנוזקה שהוטמעה בקובץ בשם bw1.js פעלה בזמן התקנת החבילה ואספה מידע רגיש כמו אסימוני GitHub ו-npm, מפתחות SSH ומשתני סביבה. קמפיין TeamPCP מכוון באופן ספציפי לנתוני ארנקי קריפטו, כולל קבצי ארנקים של MetaMask, Phantom ו-Solana. הנתונים הגנובים הועברו לדומיינים הנשלטים על ידי התוקפים והוחזרו למאגרים ב-GitHub כמנגנון להתמדה.

תהליך הפריצה חשף את הבעיות האפשריות בשימוש במנהלי סיסמאות וכלי פיתוח בצינורות CI/CD אוטומטיים. תהליכי עבודה שהריצו את הגרסה הפרוצה עשויים לחשוף מפתחות ארנק בעלי ערך גבוה ומפתחות API של בורסות. חוקר האבטחה עדנאן חאן ציין כי זו הפעם הראשונה הידועה שבה נפרצה חבילה המשתמשת במנגנון הפרסום האמין של npm, שנועד לבטל אסימונים ארוכי טווח.

Socket ממליצה לכל המשתמשים שהתקינו את גרסה 2026.4.0 להחליף מיידית כל סוד שנחשף, לשנמך לגרסה 2026.3.0 או לעבור לגרסאות חתומות רשמית מאתר Bitwarden. חשוב להדגיש כי הכספת המרכזית של Bitwarden לא נפגעה, ורק תהליך הבנייה של ה-CLI נפרץ.

ההתקפה על Bitwarden היא חלק מתופעה רחבה יותר של התקפות על שרשרת האספקה, כאשר TeamPCP ביצעו התקפות דומות נגד כלים כמו Trivy, Checkmarx ו-LiteLLM. המתקפות הללו מדגישות את החשיבות של אבטחת שרשרת האספקה ושל כלי הפיתוח שנמצאים עמוק בצינורות הבנייה.

על המשתמשים להיות ערניים ולפעול במהירות להחלפת סיסמאות ונתונים רגישים שנחשפו. התקרית מעלה שאלות לגבי אמינות כלי הפיתוח והצורך בשיפור מנגנוני האבטחה למניעת פריצות דומות בעתיד.

ב-23 באפריל, חברת האבטחה Socket חשפה פריצה חמורה לגרסת CLI של מנהל הסיסמאות Bitwarden, גרסה 2026.4.0. התוקפים השתלטו על המערכת דרך GitHub Action שנפרץ, ופרסמו חבילת npm זדונית שמטרתה לגנוב נתוני ארנקי קריפטו ופרטי זיהוי של מפתחים. הפריצה נקשרה לקמפיין שרשרת האספקה המתמשך של TeamPCP, והחבילה הזדונית הוסרה מאז.

הנוזקה שהוטמעה בקובץ בשם bw1.js פעלה בזמן התקנת החבילה ואספה מידע רגיש כמו אסימוני GitHub ו-npm, מפתחות SSH ומשתני סביבה. קמפיין TeamPCP מכוון באופן ספציפי לנתוני ארנקי קריפטו, כולל קבצי ארנקים של MetaMask, Phantom ו-Solana. הנתונים הגנובים הועברו לדומיינים הנשלטים על ידי התוקפים והוחזרו למאגרים ב-GitHub כמנגנון להתמדה.

תהליך הפריצה חשף את הבעיות האפשריות בשימוש במנהלי סיסמאות וכלי פיתוח בצינורות CI/CD אוטומטיים. תהליכי עבודה שהריצו את הגרסה הפרוצה עשויים לחשוף מפתחות ארנק בעלי ערך גבוה ומפתחות API של בורסות. חוקר האבטחה עדנאן חאן ציין כי זו הפעם הראשונה הידועה שבה נפרצה חבילה המשתמשת במנגנון הפרסום האמין של npm, שנועד לבטל אסימונים ארוכי טווח.

Socket ממליצה לכל המשתמשים שהתקינו את גרסה 2026.4.0 להחליף מיידית כל סוד שנחשף, לשנמך לגרסה 2026.3.0 או לעבור לגרסאות חתומות רשמית מאתר Bitwarden. חשוב להדגיש כי הכספת המרכזית של Bitwarden לא נפגעה, ורק תהליך הבנייה של ה-CLI נפרץ.

ההתקפה על Bitwarden היא חלק מתופעה רחבה יותר של התקפות על שרשרת האספקה, כאשר TeamPCP ביצעו התקפות דומות נגד כלים כמו Trivy, Checkmarx ו-LiteLLM. המתקפות הללו מדגישות את החשיבות של אבטחת שרשרת האספקה ושל כלי הפיתוח שנמצאים עמוק בצינורות הבנייה.

על המשתמשים להיות ערניים ולפעול במהירות להחלפת סיסמאות ונתונים רגישים שנחשפו. התקרית מעלה שאלות לגבי אמינות כלי הפיתוח והצורך בשיפור מנגנוני האבטחה למניעת פריצות דומות בעתיד.