O CISO principal da Mandiant W? (Mingw?)? 23pds reencaminha um alerta da equipa de segurança da Bitwarden: a versão Bitwarden CLI 2026.4.0 foi retirada após ter sido identificado que, no período de 1,5 horas entre as 17:57 e as 19:30 (hora do leste dos EUA) do dia 22 de abril, um pacote malicioso publicado através do npm sofreu adulteração. A Bitwarden confirmou oficialmente que os dados do cofre de palavras-passe e os sistemas de produção não foram afetados.
Detalhes do ataque: alvo de roubo da carga maliciosa bw1.js
A carga maliciosa é executada de forma silenciosa durante a instalação do pacote npm, recolhendo os seguintes tipos de dados:
· Tokens do GitHub e do npm
· Chaves SSH
· Variáveis de ambiente
· Historial do shell
· Credenciais de serviços cloud
· Documentos de carteiras criptográficas (incluindo carteiras MetaMask, Phantom e Solana)
Os dados roubados são exfiltrados para domínios controlados pelo atacante e enviados para um repositório GitHub com um mecanismo de persistência. Muitas equipas de criptomoedas usam o Bitwarden CLI nos seus processos de automação CI/CD para injeção de chaves e implementação. Qualquer processo que tenha executado uma versão comprometida pode ter expostos chaves de carteiras de elevado valor e credenciais de API de exchanges.
Medidas de resposta de emergência para utilizadores afetados
Apenas os utilizadores que instalaram a versão 2026.4.0 via npm no intervalo de 4 de abril (EUA, horário de verão do leste dos EUA) entre as 5:57 e as 7:30 devem tomar as seguintes ações: desinstalar imediatamente a versão 2026.4.0; limpar a cache do npm; fazer a rotação de todas as credenciais sensíveis, como todos os API Token e chaves SSH; verificar atividades anómalas nos processos do GitHub e CI/CD; atualizar para a versão corrigida 2026.4.1 (ou fazer downgrade para 2026.3.0, ou descarregar os binários oficiais assinados a partir do site oficial da Bitwarden).
Contexto do ataque: o mecanismo de publicação confiável do npm foi explorado pela primeira vez
O investigador de segurança Adnan Khan indicou que este ataque é um caso em que o mecanismo conhecido de publicação confiável do npm foi explorado pela primeira vez. O ataque está relacionado com as atividades de ataque à cadeia de fornecimento TeamPCP. Desde março de 2026, a TeamPCP tem levado a cabo ataques semelhantes contra ferramentas de segurança Trivy, a plataforma de segurança de código Checkmarx e ferramentas de IA LiteLLM, com o objetivo de incorporar ferramentas de desenvolvimento no processo de construção CI/CD.
Perguntas frequentes
Como confirmar se instalei a versão afetada 2026.4.0?
Pode executar npm list -g @bitwarden/cli para verificar a versão instalada. Se mostrar 2026.4.0 e a hora de instalação estiver entre as 5:57 e as 7:30 (hora do leste dos EUA) do dia 22 de abril, deve adotar medidas de resposta imediatamente. Mesmo que não tenha a certeza do momento da instalação, recomenda-se que faça a rotação proativa de todas as credenciais relevantes.
Os dados do cofre de palavras-passe da Bitwarden foram comprometidos?
Não. A Bitwarden confirmou oficialmente que os dados do cofre de palavras-passe dos utilizadores e os sistemas de produção não foram afetados. Este ataque afeta apenas o processo de construção do CLI; o alvo do ataque são as credenciais do programador e os documentos das carteiras criptográficas, e não a base de dados de palavras-passe dos utilizadores na plataforma Bitwarden.
Qual é o contexto mais amplo das atividades de ataque à cadeia de fornecimento TeamPCP?
A TeamPCP, desde março de 2026, lançou uma série de ataques de cadeia de fornecimento contra ferramentas para programadores. Os alvos afetados incluem Trivy, Checkmarx e LiteLLM. O ataque ao Bitwarden CLI faz parte da mesma série de atividades, com o objetivo de incorporar ferramentas de desenvolvimento no processo de construção CI/CD para roubar credenciais de elevado valor em pipelines automatizados.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Golpe com código Morse engana agentes de IA! Hackers induzem Grok e BankrBot a enviarem transferências, ficando com 170 mil dólares em criptomoedas
Plataforma X expõe falha em agentes de IA: os atacantes usam o NFT Bankr Club para obter permissões de transferência na carteira Grok e, depois, através de instruções em código Morse, levam o BankrBot a transferir cerca de 300 milhões de DRB sem validação humana, num valor de mercado de aproximadamente 17,5 mil dólares. O problema está no facto de a arquitetura do BankrBot não tratar a saída da IA como autorização; os fundos já foram recuperados e serão reforçadas proteções como chaves de API e listas brancas de IP.
ChainNewsAbmedia3m atrás
Os desafios do Aave ($73M ETH) congelados em tribunal devido ao exploit da Kelp DAO
Aave LLC apresentou uma moção de emergência num tribunal federal a 1 de maio, procurando levantar uma ordem que congelou cerca de 73 milhões de dólares em ether associados ao exploit da Kelp DAO do mês passado, segundo o articulado. A moção contesta as restrições sobre o Arbitrum DAO para movimentar os fundos recuperados, enquanto os demandantes de um processo separado y
CryptoFrontier1h atrás
CEO da Zondacrypto desaparece a 5 de maio levando 4.500 chaves privadas de Bitcoin; CEO atual foge para Israel
De acordo com a BlockBeats, a 5 de maio, o antigo CEO da bolsa polaca de criptomoedas Zondacrypto desapareceu em 2022, levando consigo as chaves privadas de uma carteira fria que continha 4.500 BTC (atualmente no valor de mais de 340 milhões de dólares). O atual CEO admitiu que a carteira já não é acessível e, segundo foi noticiado, terá fugido para Israel.
GateNews2h atrás
Payward Alega Fraude de Custódia Cripto $25M Contra a Etana
Payward, a empresa-mãe da bolsa de criptomoedas Kraken, apresentou uma ação judicial alegando fraude de custódia de cripto no valor de 25 milhões de dólares contra a Etana e o CEO da empresa, segundo a queixa. As alegações centram-se em alegados desvios, mistura e ocultação de fundos dos clientes, como parte de um esquema “semelhante a um Ponzi-like”.
CryptoFrontier3h atrás
O Bisq Protocol foi atacado, tendo sido roubados aproximadamente 11 BTC devido à falta de mecanismos de validação
De acordo com uma declaração oficial divulgada pelo ChainCatcher, o protocolo Bisq foi atacado recentemente, resultando na apropriação de aproximadamente 11 BTC devido à falta de mecanismos de validação. Os atacantes exploraram uma vulnerabilidade de taxa de miner negativa para transferir fundos através de transações multi-assinatura.
Bisq é
GateNews4h atrás
Aave reage com moção de urgência à contra-medida contra o bloqueio de 73 milhões de dólares em ETH: “O ladrão não possui o que roubou”
Aave apresentou um requerimento urgente ao Tribunal Distrital Sul de Nova Iorque, pedindo a revogação do bloqueio de 30,766 ETH (aproximadamente 73 milhões de dólares). Argumento central: os bens roubados continuam a pertencer aos utilizadores originais; o ladrão não consegue obter a propriedade de tudo; os bens, quando a retirada segura da comissão de segurança do Arbitrum for executada, revertem imediatamente para as vítimas; as provas atribuídas ao grupo norte-coreano Lazarus Group são boatos, estando a audiência prevista para o final de maio. Este caso poderá afetar a governação da DeFi e o risco de atribuição futura de ativos.
ChainNewsAbmedia4h atrás
