密码管理器Bitwarden发布CLI软件包被黑公告持续时间1小时33分钟

前文提到密码管理器 Bitwarden 的 CLI 命令行工具软件包遭到供应链攻击，黑客通过 Checkmarx 等工具盗取开发者凭证，随后在 NPM 平台发布携带恶意代码的软件包，涉及的软件包名称和版本为 bitwarden/cli@2026.4.0 版。

现在这款密码管理器已经发布简短的安全公告，初步调查显示 Bitwarden 生产环境和用户存储数据全部安全，被窃取的开发者凭证目前已经被撤销访问权限，相关恶意软件包也被下架并立即发布新版本。

此次黑客投放恶意软件包持续时间为 1 小时 33 分钟，也就是在这个时间窗口内安装或更新 Bitwarden CLI 版的用户面临安全风险，这些用户需要立即吊销所有可能受影响的凭证、检查各类资源访问记录，必要时最好直接重装整个开发环境。

软件包被黑持续时间如下：

对国内用户和开发者而言，此次被黑时间为早晨，这个点可能大家刚起床所以不太可能安装或更新软件包，所以可能受影响的概率非常低，不过即便如此开发者也需要检查 NPM 相关日志看看 2026.4.0 版安装时间，确保该版本并非最近 1~2 天安装的。

临时应对方案如下：

之后开发者需要轮换所有可能已经暴露或者存储在环境变量中的任何机密信息，包括 SSH 密钥和 API 令牌等，同时也要检查这些 SSH 密钥对应服务器或 API 令牌对应资源的访问记录，有可能这些资源也已经遭到感入侵，所以需要按照链条进行全方位的排查。

例如需要检查 GitHub 相关活动日志、检查 CI/CD 工作流和相关凭证，检查是否存在异常时间的登录或连接记录，只要发现异常说明可能已经被黑 (但没发现不代表没被黑)，开发者需要做好应对措施。

更多相关技术内容咨询欢迎前往并持续关注好学星城论坛了解详情。

想高效系统的学习Python编程语言，推荐大家关注一个微信公众号：Python编程学习圈。每天分享行业资讯、技术干货供大家阅读，关注即可免费领取整套Python入门到进阶的学习资料以及教程，感兴趣的小伙伴赶紧行动起来吧。

0 条评论