O CISO principal da Mandiant W? (Mingw?)? 23pds reencaminha um alerta da equipa de segurança da Bitwarden: a versão Bitwarden CLI 2026.4.0 foi retirada após ter sido identificado que, no período de 1,5 horas entre as 17:57 e as 19:30 (hora do leste dos EUA) do dia 22 de abril, um pacote malicioso publicado através do npm sofreu adulteração. A Bitwarden confirmou oficialmente que os dados do cofre de palavras-passe e os sistemas de produção não foram afetados.
Detalhes do ataque: alvo de roubo da carga maliciosa bw1.js
A carga maliciosa é executada de forma silenciosa durante a instalação do pacote npm, recolhendo os seguintes tipos de dados:
· Tokens do GitHub e do npm
· Chaves SSH
· Variáveis de ambiente
· Historial do shell
· Credenciais de serviços cloud
· Documentos de carteiras criptográficas (incluindo carteiras MetaMask, Phantom e Solana)
Os dados roubados são exfiltrados para domínios controlados pelo atacante e enviados para um repositório GitHub com um mecanismo de persistência. Muitas equipas de criptomoedas usam o Bitwarden CLI nos seus processos de automação CI/CD para injeção de chaves e implementação. Qualquer processo que tenha executado uma versão comprometida pode ter expostos chaves de carteiras de elevado valor e credenciais de API de exchanges.
Medidas de resposta de emergência para utilizadores afetados
Apenas os utilizadores que instalaram a versão 2026.4.0 via npm no intervalo de 4 de abril (EUA, horário de verão do leste dos EUA) entre as 5:57 e as 7:30 devem tomar as seguintes ações: desinstalar imediatamente a versão 2026.4.0; limpar a cache do npm; fazer a rotação de todas as credenciais sensíveis, como todos os API Token e chaves SSH; verificar atividades anómalas nos processos do GitHub e CI/CD; atualizar para a versão corrigida 2026.4.1 (ou fazer downgrade para 2026.3.0, ou descarregar os binários oficiais assinados a partir do site oficial da Bitwarden).
Contexto do ataque: o mecanismo de publicação confiável do npm foi explorado pela primeira vez
O investigador de segurança Adnan Khan indicou que este ataque é um caso em que o mecanismo conhecido de publicação confiável do npm foi explorado pela primeira vez. O ataque está relacionado com as atividades de ataque à cadeia de fornecimento TeamPCP. Desde março de 2026, a TeamPCP tem levado a cabo ataques semelhantes contra ferramentas de segurança Trivy, a plataforma de segurança de código Checkmarx e ferramentas de IA LiteLLM, com o objetivo de incorporar ferramentas de desenvolvimento no processo de construção CI/CD.
Perguntas frequentes
Como confirmar se instalei a versão afetada 2026.4.0?
Pode executar npm list -g @bitwarden/cli para verificar a versão instalada. Se mostrar 2026.4.0 e a hora de instalação estiver entre as 5:57 e as 7:30 (hora do leste dos EUA) do dia 22 de abril, deve adotar medidas de resposta imediatamente. Mesmo que não tenha a certeza do momento da instalação, recomenda-se que faça a rotação proativa de todas as credenciais relevantes.
Os dados do cofre de palavras-passe da Bitwarden foram comprometidos?
Não. A Bitwarden confirmou oficialmente que os dados do cofre de palavras-passe dos utilizadores e os sistemas de produção não foram afetados. Este ataque afeta apenas o processo de construção do CLI; o alvo do ataque são as credenciais do programador e os documentos das carteiras criptográficas, e não a base de dados de palavras-passe dos utilizadores na plataforma Bitwarden.
Qual é o contexto mais amplo das atividades de ataque à cadeia de fornecimento TeamPCP?
A TeamPCP, desde março de 2026, lançou uma série de ataques de cadeia de fornecimento contra ferramentas para programadores. Os alvos afetados incluem Trivy, Checkmarx e LiteLLM. O ataque ao Bitwarden CLI faz parte da mesma série de atividades, com o objetivo de incorporar ferramentas de desenvolvimento no processo de construção CI/CD para roubar credenciais de elevado valor em pipelines automatizados.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Fraude com Laptop Farm por programadores de TI da Coreia do Norte: cúmplice dos EUA condenado a 7-9 anos, e ao longo de dois anos arrecadou 2,8 mil milhões de dólares
Relatório da Fortune: a Coreia do Norte, através de quintas de laptops nos EUA, obteve cerca de 2,8 mil milhões de USD de receitas acumuladas em dois anos para apoiar armas nucleares; contribui anualmente 250 a 600 milhões de USD. O arguido de nacionalidade norte-americana Kejia Wang e Zhenxing Wang foram condenados, respetivamente, a 7,5 anos e 9 anos, estando implicados em mais de cem empresas e na usurpação de identidade de 80 pessoas. A Coreia do Norte opera nos EUA com identidades norte-americanas e dispositivos fixos, e os fundos são maioritariamente convertidos por criptomoeda. Especialistas alertam que a rede de cúmplices no país ainda existe, e que as empresas devem reforçar a verificação de identidade, o rastreio de endereços e a análise de fuso horário/IP.
ChainNewsAbmedia2h atrás
Polícia de Hong Kong alerta para um aumento nos golpes de cripto; Duas mulheres perdem US$1,24M nas últimas semanas
Mensagem do Gate News, 25 de abril — Duas mulheres de Hong Kong perderam, no total, HK$9,7 milhões (US$1,24 milhão) para golpistas de cripto ao longo das últimas semanas, levando a polícia local a emitir um aviso público. A polícia de Hong Kong comunicou mais de 80 casos de fraude numa única semana, com perdas totais superiores a HK$80 milhão (U
GateNews3h atrás
Famílias de Malware para Android Visam Apps Bancárias e de Cripto com Taxas de Detecção Quase Nulas: Zimperium
Mensagem de Notícias da Gate, 25 de Abril — A empresa de cibersegurança Zimperium identificou quatro famílias ativas de malware — RecruitRat, SaferRat, Astrinox e Massiv — direcionadas a mais de 800 aplicações nos sectores bancário, de criptomoedas e de redes sociais. As campanhas recorrem a técnicas avançadas de anti-análise e
GateNews5h atrás
Token TRADOOR cai 90% em 30 minutos na sequência de alegada manipulação de preços e wash trading
Mensagem de Gate News, 25 de Abril — O token TRADOOR sofreu uma queda brusca de 90% no preço ao longo de 30 minutos às 2:00 AM de hoje, segundo o analista on-chain Specter. O token tinha disparado até 900% desde Março de 2026 antes do colapso súbito, levantando suspeitas de manipulação de preços e de negociação coordenada
GateNews7h atrás
O Protocolo de Empréstimos Purrlend Sofre um Ataque e Perde 1,52 Milhões de Dólares entre MegaETH e HyperEVM
Mensagem de Gate News, 25 de Abril — O protocolo de empréstimos Purrlend foi alvo de ataques em ambas as redes MegaETH e HyperEVM hoje, resultando em perdas de aproximadamente 1,52 milhões de dólares.
Os atacantes extraíram cerca de 1,2 milhões de dólares em ativos da rede HyperEVM, incluindo 449,683 USDC, 214,125
GateNews7h atrás
Ben Pasternak Detido por Agressão num Hotel em NYC no Meio de $54M Ações Judiciais por Fraude Cripto Sobre o Token Believe
Mensagem do Gate News, 25 de abril — Ben Pasternak, o empreendedor australiano de 26 anos por trás da plataforma SocialFi Believe baseada na Solana, foi detido a 22 de abril e acusado de estrangulamento em segundo grau e duas acusações de agressão em terceiro grau, na sequência de uma alegada altercação física com a sua ex-namorado, personalidade do YouTube Evelyn Ha, no Baccarat Hotel em Manhattan, a 31 de março.
GateNews8h atrás
