کمزوری کی تقریباً دو گھنٹے کی کھڑکی نے GitHub کے صارفین کو ایک جائز بٹ وارڈن ٹول کے طور پر سامنے آنے والے بدمعاش کمانڈ لائن انٹرفیس کے بعد ممکنہ قبضے سے دوچار کیا۔

22 اپریل کو، بٹ وارڈن کے کمانڈ لائن انٹرفیس کا ایک بدنیتی پر مبنی ورژن npm پر آفیشل پیکیج کے نام @bitwarden/cli@2026.4.0 کے تحت نمودار ہوا۔ 93 منٹ تک، جس نے بھی npm کے ذریعے CLI کھینچا اسے جائز ٹول کا بیک ڈور متبادل ملا۔

بٹ وارڈن نے سمجھوتے کا پتہ لگایا، پیکج کو ہٹا دیا، اور ایک بیان جاری کیا جس میں کہا گیا کہ اس کو کوئی ثبوت نہیں ملا کہ حملہ آوروں نے صارف کے اختتامی والٹ ڈیٹا تک رسائی حاصل کی یا پروڈکشن سسٹم سے سمجھوتہ کیا۔

سیکورٹی ریسرچ فرم JFrog نے نقصان دہ پے لوڈ کا تجزیہ کیا اور پایا کہ اسے Bitwarden vaults میں کوئی خاص دلچسپی نہیں ہے۔ اس نے گٹ ہب ٹوکنز، این پی ایم ٹوکنز، ایس ایس ایچ کیز، شیل ہسٹری، AWS اسناد، GCP اسناد، Azure اسناد، GitHub ایکشن سیکرٹ، اور AI ٹولنگ کنفیگریشن فائلوں کو نشانہ بنایا۔

یہ وہ اسناد ہیں جو اس بات پر حکمرانی کرتی ہیں کہ ٹیمیں کس طرح اپنے انفراسٹرکچر کی تعمیر، تعیناتی اور ان تک پہنچتی ہیں۔

ھدف شدہ خفیہ / ڈیٹا کی قسم

جہاں یہ عام طور پر رہتا ہے۔

یہ عملی طور پر کیوں اہمیت رکھتا ہے۔

GitHub ٹوکنز

ڈویلپر لیپ ٹاپ، مقامی تشکیل، CI ماحول

آٹومیشن کے ذریعے ریپو رسائی، ورک فلو کا غلط استعمال، خفیہ فہرست سازی، اور پس منظر کی نقل و حرکت کو فعال کر سکتا ہے۔

npm ٹوکن

مقامی تشکیل، رہائی کے ماحول

نقصان دہ پیکجوں کو شائع کرنے یا ریلیز کے بہاؤ کو تبدیل کرنے کے لیے استعمال کیا جا سکتا ہے۔

SSH کیز

ڈویلپر مشینیں، میزبان بنائیں

سرورز، اندرونی ریپوز، اور انفراسٹرکچر تک رسائی کھول سکتا ہے۔

شیل کی تاریخ

مقامی مشینیں۔

پیسٹ کیے گئے راز، کمانڈز، اندرونی میزبان نام، اور ورک فلو کی تفصیلات کو ظاہر کر سکتا ہے۔

AWS اسناد

مقامی تشکیل فائلیں، ماحولیاتی متغیرات، CI راز

کلاؤڈ ورک بوجھ، اسٹوریج، اور تعیناتی کے نظام کو بے نقاب کر سکتا ہے۔

GCP اسناد

مقامی تشکیل فائلیں، ماحولیاتی متغیرات، CI راز

کلاؤڈ پروجیکٹس، سروسز اور آٹومیشن پائپ لائنز کو بے نقاب کر سکتا ہے۔

Azure کی اسناد

مقامی تشکیل فائلیں، ماحولیاتی متغیرات، CI راز

کلاؤڈ انفراسٹرکچر، شناختی نظام، اور تعیناتی کے راستوں کو بے نقاب کر سکتا ہے۔

GitHub ایکشن کے راز

CI/CD ماحول

آٹومیشن تک رسائی دے سکتا ہے، آؤٹ پٹس کی تعمیر، تعیناتی، اور بہاو کے راز

AI ٹولنگ / کنفگ فائلز

پروجیکٹ ڈائریکٹریز، مقامی دیو ماحول

API کیز، اندرونی اختتامی نقطہ، ماڈل کی ترتیبات، اور متعلقہ اسناد کو بے نقاب کر سکتا ہے۔

Bitwarden 50,000 سے زیادہ کاروباروں اور 10 ملین صارفین کی خدمت کرتا ہے، اور اس کی اپنی دستاویزات CLI کو والٹ تک رسائی اور اس کا نظم کرنے کے ایک "طاقتور، مکمل خصوصیات والے" طریقے کے طور پر بیان کرتی ہیں، بشمول خودکار ورک فلو جو کہ ماحولیاتی متغیرات کا استعمال کرتے ہوئے تصدیق کرتے ہیں۔

Bitwarden رجسٹری کے ساتھ پہلے سے ہی آرام دہ صارفین کے لیے npm کو سب سے آسان اور ترجیحی انسٹالیشن طریقہ کے طور پر درج کرتا ہے۔ آٹومیشن کے استعمال، ڈویلپر-مشین کی تنصیب، اور سرکاری npm تقسیم کا یہ امتزاج CLI کو بالکل وہی جگہ دیتا ہے جہاں بنیادی ڈھانچے کے اعلیٰ ترین راز رہتے ہیں۔

JFrog کے تجزیہ سے پتہ چلتا ہے کہ بدنیتی پر مبنی پیکیج نے پہلے سے انسٹال ہک اور bw بائنری انٹری پوائنٹ دونوں کو ایک لوڈر پر دوبارہ جوڑا جس نے Bun رن ٹائم حاصل کیا اور ایک مبہم پے لوڈ شروع کیا۔ سمجھوتہ انسٹال کے وقت اور رن ٹائم پر نکالا جاتا ہے۔

ایک تنظیم کسی بھی ذخیرہ شدہ پاس ورڈ کو چھوئے بغیر بیک ڈور CLI چلا سکتی ہے جبکہ میلویئر نے اپنی CI پائپ لائنز، کلاؤڈ اکاؤنٹس، اور تعیناتی آٹومیشن کو کنٹرول کرنے والے اسناد کو منظم طریقے سے اکٹھا کیا۔

سیکیورٹی فرم ساکٹ کا کہنا ہے کہ ایسا لگتا ہے کہ اس حملے نے بٹ وارڈن کی CI/CD پائپ لائن میں ایک سمجھوتہ شدہ GitHub ایکشن کا استحصال کیا ہے، جو چیک مارکس کے محققین کے پیٹرن کے مطابق ہے۔

بٹوارڈن نے تصدیق کی کہ یہ واقعہ چیک مارکس سپلائی چین کی وسیع تر مہم سے منسلک ہے۔

اعتماد کی رکاوٹ

Npm نے اس طبقے کے خطرے کو بالکل ٹھیک کرنے کے لیے اپنا قابل اعتماد پبلشنگ ماڈل بنایا ہے۔

طویل المدت npm پبلش ٹوکنز کو OIDC پر مبنی CI/CD تصدیق کے ساتھ تبدیل کر کے، سسٹم حملہ آوروں کی رجسٹری ریلیز کو ہائی جیک کرنے کے لیے استعمال کیے جانے والے سب سے عام راستوں میں سے ایک کو ہٹاتا ہے، اور npm قابل اعتماد اشاعت کی سفارش کرتا ہے اور اسے ایک بامعنی قدم کے طور پر پیش کرتا ہے۔

مشکل سطح خود ریلیز کی منطق ہے، جیسے ورک فلو اور اعمال جو اشاعت کے مرحلے کو شروع کرتے ہیں۔ Npm کی اپنی دستاویزات OIDC سے آگے کے کنٹرول کی سفارش کرتی ہیں، جیسے دستی منظوری کے تقاضوں کے ساتھ تعیناتی کے ماحول، ٹیگ کے تحفظ کے قواعد، اور برانچ کی پابندیاں۔

ٹرسٹ چین میں پرت

جس چیز کی ضمانت دی جائے۔

اب بھی کیا غلط ہو سکتا ہے

ماخذ ذخیرہ

مطلوبہ کوڈ بیس متوقع ریپو میں موجود ہے۔

حملہ آوروں کو کبھی بھی مرکزی کوڈ بیس کو براہ راست تبدیل کرنے کی ضرورت نہیں ہو سکتی

CI/CD ورک فلو

ریپو سے خود کار طریقے سے تعمیر اور رہائی

اگر سمجھوتہ کیا جاتا ہے، تو یہ ایک بدنیتی پر مبنی نمونہ تیار اور شائع کر سکتا ہے۔

GitHub ایکشنز / ریلیز منطق

سافٹ ویئر بنانے اور شائع کرنے والے اقدامات کو انجام دیتا ہے۔

زہر آلود کارروائی یا غلط کام کا بہاؤ ایک جائز رہائی کے راستے کو نقصان پہنچا سکتا ہے۔

OIDC قابل اعتماد اشاعت

طویل المدت رجسٹری ٹوکن کو قلیل المدت شناخت پر مبنی توثیق سے بدل دیتا ہے

یہ ثابت کرتا ہے کہ ایک مجاز ورک فلو نے پیکج شائع کیا، یہ نہیں کہ ورک فلو خود محفوظ تھا۔

npm آفیشل پیکیج کا راستہ

متوقع پیکیج کے نام کے تحت سافٹ ویئر تقسیم کرتا ہے۔

اگر سرکاری اشاعت کے راستے سے سمجھوتہ کیا جاتا ہے تو صارفین کو ابھی بھی میلویئر موصول ہو سکتا ہے۔

ڈویلپر مشین / CI رنر

سرکاری پیکج استعمال کرتا ہے۔

انسٹال ٹائم یا رن ٹائم میلویئر لو کاشت کر سکتے ہیں۔