1. Bitwarden CLI npm包遭遇供应链攻击:恶意版本潜入多个组织CI/CD环境
npm生态系统再次发生严重供应链安全事件。攻击者成功将恶意版本的Bitwarden CLI软件包植入npm注册表,该包据信已扩散至多个组织的开发环境和持续集成/持续部署(CI/CD)流水线。安全研究人员追踪到一个符合特定命名模式的恶意包:{word}-{word}-{3digits}格式的Dune主题暂存环境,这一特征与此次攻击直接相关。 受感染的软件包已在组织不知情的情况下进入构建系统。由于Bitwarden CLI常被用于管理敏感凭证,攻击者可能借此机会在CI/CD环节中部署后门或窃取认证令牌。安全研究机构Socket.dev已确认此次入侵的真实性,并指出这是一个典型的依赖混淆与包篡改结合的复合型供应链攻击。 已安装该恶意包...