Npm-атака на Bitwarden CLI: вредоносный пакет похищал токены и SSH-ключи у разработчиков

В конце прошлой недели популярный npm-пакет bitwarden/cli, используемый для работы с менеджером паролей Bitwarden из командной строки, был скомпрометирован злоумышленниками. Вместо штатного инструмента пакет стал распространять инфостилер — вредоносное ПО, предназначенное для кражи конфиденциальных данных с заражённых систем.

Как выяснилось, атака была нацелена непосредственно на разработчиков. Внедрённый злоумышленниками модуль похищал аутентификационные токены, SSH-ключи и секреты, хранящиеся в CI/CD-пайплайнах. Это критически опасная комбинация: скомпрометированные CI/CD секреты могут открыть доступ к репозиториям, облачной инфраструктуре и production-средам. По предварительным данным, вредоносный код присутствовал в пакете ограниченное время, однако масштаб распространения и точное число пострадавших仍在调查中.

Для организации атаки злоумышленники воспользовались доверием экосистемы npm к официальному инструменту Bitwarden. Инцидент подчёркивает уязвимость цепочки поставок программного обеспечения: даже проверенные пакеты с миллионами загрузок могут стать вектором компрометации. Разработчикам, использовавшим bitwarden/cli в указанный период, рекомендуется проверить системы на признаки утечки секретов, отозвать скомпрометированные токены и провести ротацию ключей SSH.