LINUX.ORG.RU

Bitwarden CLI скомпрометирован через npm

 , , , ,


0

1

!Ъ: https://community.bitwarden.com/t/bitwarden-statement-on-checkmarx-supply-chain-incident/96127

Ъ:

Разработчики Bitwarden сообщили о supply-chain-инциденте: в npm некоторое время распространялась вредоносная версия @bitwarden/cli 2026.4.0. Пакет был доступен 22 апреля 2026 года примерно полтора часа и был связан с более широкой атакой на цепочку поставки Checkmarx.

По заявлению Bitwarden, пользовательские vault’ы и production-системы не пострадали. Проблема касается в первую очередь тех, кто устанавливал CLI из npm именно в это окно. Вредоносный код был нацелен на developer secrets: токены GitHub/npm, SSH-ключи, .env, cloud credentials и CI/CD-окружение.

Поддерживаю удар по репутации Bitwarden. Юзверей жаль, надеюсь никто не пострадал.

Ответ на: комментарий от olelookoe

С тех пор как они умышленно сделали невозможной сборку без своего закрытого тула — уважения они не заслуживают, ИМХО.

BruteForce ★★★★
() автор топика

месячной давности новости. добро пожаловать из анабиоза

С тех пор как они умышленно сделали невозможной сборку без своего закрытого тула — уважения они не заслуживают, ИМХО.

сборку чего?

anonymous
()
  • Markdown
Пустая строка (два раза Enter) начинает новый абзац. Знак '>' в начале абзаца выделяет абзац курсивом цитирования.
Внимание: прочитайте описание разметки Markdown.
Используйте Ctrl-Enter для размещения комментария