عرّضت نافذة من الثغرات الأمنية مدتها ساعتين تقريبًا مستخدمي GitHub لعملية استحواذ محتملة بعد أن تم طرح واجهة سطر أوامر مارقة كأداة شرعية من Bitwarden.

في 22 أبريل، ظهرت نسخة ضارة من واجهة سطر أوامر Bitwarden على npm تحت اسم الحزمة الرسمي @bitwarden/cli@2026.4.0. لمدة 93 دقيقة، أي شخص قام بسحب واجهة سطر الأوامر (CLI) من خلال npm حصل على بديل خلفي للأداة الشرعية.

اكتشفت Bitwarden الاختراق، وأزالت الحزمة، وأصدرت بيانًا قالت فيه إنها لم تجد أي دليل على وصول المهاجمين إلى بيانات قبو المستخدم النهائي أو اختراق أنظمة الإنتاج.

قامت شركة الأبحاث الأمنية JFrog بتحليل الحمولة الضارة ووجدت أنه ليس لديها اهتمام خاص بخزائن Bitwarden. استهدفت رموز GitHub، ورموز npm، ومفاتيح SSH، وسجل الصدفة، وبيانات اعتماد AWS، وبيانات اعتماد GCP، وبيانات اعتماد Azure، وأسرار إجراءات GitHub، وملفات تكوين أدوات الذكاء الاصطناعي.

هذه هي بيانات الاعتماد التي تحكم كيفية إنشاء الفرق للبنية التحتية الخاصة بهم ونشرها والوصول إليها.

السر المستهدف / نوع البيانات

حيث يعيش عادة

لماذا يهم من الناحية التشغيلية

رموز جيثب

أجهزة الكمبيوتر المحمولة للمطورين والتكوين المحلي وبيئات CI

يمكن تمكين الوصول إلى الريبو وإساءة استخدام سير العمل والقائمة السرية والحركة الجانبية من خلال الأتمتة

رموز npm

التكوين المحلي، بيئات الإصدار

يمكن استخدامها لنشر حزم ضارة أو تغيير تدفقات الإصدار

مفاتيح SSH

آلات المطورين، بناء المضيفين

يمكن فتح الوصول إلى الخوادم وعمليات إعادة الشراء الداخلية والبنية التحتية

تاريخ شل

الآلات المحلية

يمكن أن يكشف الأسرار الملصقة والأوامر وأسماء المضيفين الداخليين وتفاصيل سير العمل

بيانات اعتماد AWS

ملفات التكوين المحلية ومتغيرات البيئة وأسرار CI

يمكن أن يكشف عن أحمال العمل السحابية وأنظمة التخزين والنشر

بيانات اعتماد Google Cloud Platform

ملفات التكوين المحلية ومتغيرات البيئة وأسرار CI

يمكن الكشف عن المشاريع السحابية والخدمات وخطوط أنابيب الأتمتة

بيانات اعتماد أزور

ملفات التكوين المحلية ومتغيرات البيئة وأسرار CI

يمكن أن يكشف البنية التحتية السحابية وأنظمة الهوية ومسارات النشر

أسرار إجراءات جيثب

بيئات CI/CD

يمكن منح حق الوصول إلى الأتمتة وبناء المخرجات وعمليات النشر والأسرار النهائية

أدوات الذكاء الاصطناعي/ملفات التكوين

أدلة المشروع وبيئات التطوير المحلية

يمكن أن يعرض مفاتيح واجهة برمجة التطبيقات ونقاط النهاية الداخلية وإعدادات النموذج وبيانات الاعتماد ذات الصلة

تخدم Bitwarden أكثر من 50000 شركة و10 ملايين مستخدم، وتصف وثائقها الخاصة واجهة سطر الأوامر بأنها طريقة "قوية ومتكاملة الميزات" للوصول إلى المخزن وإدارته، بما في ذلك سير العمل الآلي الذي يتم المصادقة عليه باستخدام متغيرات البيئة.

يسرد Bitwarden npm باعتباره طريقة التثبيت الأبسط والمفضلة للمستخدمين الذين يشعرون بالراحة بالفعل مع السجل. هذا المزيج من استخدام الأتمتة، وتثبيت جهاز المطور، وتوزيع npm الرسمي يضع واجهة سطر الأوامر (CLI) بالضبط حيث تميل أسرار البنية التحتية عالية القيمة إلى العيش.

يُظهر تحليل JFrog أن الحزمة الضارة قامت بإعادة توصيل كل من خطاف التثبيت المسبق ونقطة الدخول الثنائية لـ bw إلى أداة التحميل التي جلبت وقت تشغيل Bun وأطلقت حمولة مبهمة. يتم تشغيل الحل الوسط في وقت التثبيت وفي وقت التشغيل.

يمكن لأي مؤسسة تشغيل واجهة سطر الأوامر (CLI) ذات الباب الخلفي دون لمس أي كلمات مرور مخزنة بينما تقوم البرامج الضارة بجمع بيانات الاعتماد التي تحكم خطوط أنابيب CI الخاصة بها والحسابات السحابية وأتمتة النشر بشكل منهجي.

تقول شركة الأمن "Socket" إن الهجوم يبدو أنه استغل GitHub Action المخترق في خط أنابيب CI/CD الخاص بـ Bitwarden، وهو ما يتوافق مع النمط الذي كان باحثو Checkmarx يتتبعونه.

وأكدت Bitwarden أن الحادث مرتبط بحملة سلسلة التوريد Checkmarx الأوسع.

عنق الزجاجة الثقة

قامت Npm ببناء نموذج النشر الموثوق به لمعالجة هذه الفئة من المخاطر بالضبط.

من خلال استبدال رموز نشر npm طويلة الأمد بمصادقة CI/CD المستندة إلى OIDC، يزيل النظام أحد المسارات الأكثر شيوعًا التي يستخدمها المهاجمون لاختراق إصدارات التسجيل، وتوصي npm بالنشر الموثوق به وتتعامل معه كخطوة هادفة إلى الأمام.

أما السطح الأصعب فهو منطق الإصدار نفسه، مثل سير العمل والإجراءات التي تستدعي خطوة النشر. توصي وثائق Npm الخاصة بعناصر تحكم تتجاوز OIDC، مثل بيئات النشر ذات متطلبات الموافقة اليدوية وقواعد حماية العلامات وقيود الفروع.

طبقة في سلسلة الثقة

ما يفترض أن يضمن

ما الذي لا يزال يمكن أن يحدث الخطأ

مستودع المصدر

قاعدة التعليمات البرمجية المقصودة موجودة في الريبو المتوقع

قد لا يحتاج المهاجمون أبدًا إلى تغيير قاعدة التعليمات البرمجية الرئيسية مباشرةً

سير عمل CI/CD

أتمتة البناء والإصدار من الريبو

إذا تم اختراقها، فيمكنها إنتاج ونشر قطعة أثرية ضارة

إجراءات جيثب / منطق الإصدار

ينفذ خطوات إنشاء البرامج ونشرها

يمكن أن يؤدي الإجراء المسموم أو سير العمل الذي تمت إساءة استخدامه إلى تحويل مسار الإصدار الشرعي إلى مسار ضار