cybersikkerhed malware cloud-sikkerhed supply chain-angreb Bitwarden npm sikkerhedshændelse GitHub tokens CI/CD sikkerhed

Den 22. april blev udviklere udsat for en sofistikeret supply chain-angreb, da en ondsindet version af Bitwardens kommandolinjegrænseflade (CLI) dukkede op på npm under det officielle pakkenavn @bitwarden/[email protected].

I 93 minutter modtog alle, der installerede CLI’en via npm, en kompromitteret version, der indeholdt en bagdør. Bitwarden opdagede og fjernede pakken hurtigt, men angrebet havde allerede givet adgang til kritiske autentifikationsoplysninger.

Hvad blev stjålet?

Sikkerhedsfirmaet JFrog analyserede den ondsindede kode og fandt, at den ikke havde til formål at kompromittere Bitwardens egne systemer eller brugeres password-hvelv. I stedet rettede angriberne sig mod:

  • GitHub-tokens – Giver adgang til repositories, workflows og automatiseret lateral bevægelse
  • npm-tokens – Kan bruges til at udgive ondsindede pakker eller manipulere release-processer
  • SSH-nøgler – Giver adgang til servere, interne repositories og infrastruktur
  • Shell-historik – Indeholder tidligere indtastede kommandoer, hemmelige koder og interne hostnames
  • AWS-, GCP- og Azure-legitimationer – Udstiller cloud-resourcer, lagring og automatiseringspipelines
  • GitHub Actions-secrets – Giver adgang til CI/CD-automatisering og deployment-sekret
  • AI-værktøjsopsætninger – Indeholder API-nøgler, interne endpoints og modelindstillinger

Hvordan fungerede angrebet?

Den kompromitterede CLI indeholdt en loader, der downloadede Bun-runtime og aktiverede en obfuskeret payload. Angrebet blev udløst både under installationen og ved kørsel af værktøjet. Selvom organisationer fortsatte med at bruge det kompromitterede CLI, indsamlede malware systematisk legitimationsoplysninger fra CI-pipelines, cloud-konti og deployment-automatisering – uden at røre de lagrede passwords.

Hvordan blev angrebet gennemført?

Sikkerhedsfirmaet Socket mener, at angrebet udnyttede en kompromitteret GitHub Action i Bitwardens CI/CD-pipeline. Dette stemmer overens med et mønster, som forskere fra Checkmarx har dokumenteret gennem længere tid. Bitwarden har bekræftet, at hændelsen er forbundet med den større Checkmarx supply chain-kampagne.

Hvorfor var angrebet så farligt?

Bitwardens CLI er designet til at integrere med automatiserede workflows, hvilket gør det til et centralt punkt for højt prioriterede legitimationsoplysninger. Da Bitwarden anbefaler installation via npm – den mest udbredte distributionskanal for udviklere – blev angrebet en ideel indgang til kritisk infrastruktur.

«Bitwardens CLI er et kraftfuldt værktøj, der ofte bruges i automatiserede processer, hvor miljøvariabler håndterer autentifikation. Dette gør det til et attraktivt mål for angribere, der søger adgang til CI-pipelines, cloud-konti og deployment-systemer.» – Sikkerhedsforsker hos JFrog

Bitwardens respons og fremtidige sikkerhedsforanstaltninger

Bitwarden har fjernet den kompromitterede pakke og oplyser, at der ikke er tegn på, at angriberne har fået adgang til brugeres password-hvelv eller produktionssystemer. Alligevel understreger hændelsen vigtigheden af at styrke supply chain-sikkerheden.

Npm har tidligere indført OIDC-baseret autentifikation for at reducere risikoen for lignende angreb. Denne løsning erstatter langvarige udgivelsestokens med midlertidige, CI/CD-autentifikationsnøgler – en foranstaltning, der potentielt kunne have forhindret denne hændelse.

Kilde: CryptoSlate
Sådan slår du Kingpin: Hemmelig boss i Marvel Rivals Blood Hunt
← Forrige

Sådan slår du Kingpin: Hemmelig boss i Marvel Rivals Blood Hunt

 Arvell Reese tilføjer ny dimension til Giants' forsvar – og kalder sig selv for et våben
Næste →

Arvell Reese tilføjer ny dimension til Giants' forsvar – og kalder sig...