💡
原文中文,约600字,阅读约需2分钟。
📝
内容提要
Bitwarden 的命令行工具 @bitwarden/cli@2026.4.0 版本遭到攻击,恶意代码被植入,可能导致用户敏感信息泄露,如 GitHub token 和 SSH 私钥。官方确认用户的 Vault 密码库未受影响。
🎯
关键要点
- Bitwarden 的命令行工具 @bitwarden/cli@2026.4.0 版本遭到攻击,恶意代码被植入。
- 攻击者入侵了 Bitwarden 的发布流程,将被改过的 CLI 版本发布到 npm。
- 恶意代码会搜索用户电脑中的各种敏感信息,包括 GitHub token、SSH 私钥、.env 文件、云服务凭证和 shell 历史记录。
- 被窃取的信息会被 AES-256 加密和压缩后发送出去。
- Bitwarden 官方确认用户的 Vault 密码库未受影响,未入侵其后端服务。
➡️
