TokyoBlackHatNews

csoonline.com 5分で読了

Bitwarden CLIパスワードマネージャーが供給チェーン攻撃でトロイの木馬化

攻撃者は、人気のあるオープンソースパスワードマネージャーの悪意あるコマンドラインバージョンをnpmレジストリに公開し、最近の一連の供給チェーン攻撃の背後にいる可能性があります。

研究者は、非常に人気のあるオープンソースパスワードマネージャーのターミナルバージョンであるBitwarden CLIの悪意あるバージョンが作成された新しいソフトウェア供給チェーン攻撃を警告しています。この攻撃は、TeamPCPと呼ばれるグループに起因する最近の一連の供給チェーン侵害に関連していると考えられています。

「この攻撃はBitwarden のCI/CDパイプライン内の侵害されたGitHub Actionを活用したと見られ、このキャンペーンの他の影響を受けたリポジトリで見られるパターンと一致しています」とセキュリティ企業Socket.devの研究者はレポートで述べています

攻撃者は、悪意あるBitwarden CLIバージョン2026.4.0をnpmレジストリに公開することに成功しました。このバージョンは、プロジェクトのGitHubリポジトリに対応する公式リリースはなく、4月22日ET時間午後5時57分から午後7時30分の約1.5時間で検出・削除されました。

「調査により、エンドユーザーのボールトデータがアクセスされたり危機にさらされたり、本番データまたは本番システムが侵害されたりした証拠は見つかりませんでした」とBitwarden はコミュニティフォーラムの声明で述べています。「問題が検出されると、侵害されたアクセスが取り消され、悪意あるnpmリリースが廃止され、是正措置が直ちに開始されました。」

この攻撃は、セキュリティ企業Checkmarxのインフラストラクチャコード脆弱性スキャナーであるKICSのDockerイメージとVS Code拡張機能に影響を与えた最近の供給チェーン侵害に関連していると見られています。関与していると疑われるグループであるTeamPCPは、最近数ヶ月間にオープンソースプロジェクトに影響を与えた一連の供給チェーン攻撃の責任を負っており、Trivyセキュリティスキャナーを含みます

幸いなことに、この新しい攻撃はBitwarden のCLIバージョンのみに影響を与え、より広く使用されているWebブラウザ拡張機能と他のクライアントアプリケーションには影響しませんでした。Bitwarden は、50,000のビジネス顧客を含む1000万以上のユーザーを持つと推定されています。

攻撃者がクラウドおよび開発認証情報をターゲットに

トロイの木馬化されたBitwarden CLIバージョン2026.4.0には、bunパッケージマネージャーがインストールされているかどうかをチェックし、それを使用してbw1.jsを実行するbw_setup.jsと呼ばれるカスタムローダーが含まれていました。bunが存在しない場合、GitHubからダウンロードしてインストールされます。

セキュリティ企業JFrogによる分析によると、悪意あるペイロードは、ファイルシステム、シェル環境変数、およびGitHub Actions設定から、幅広い範囲の認証情報とアクセストークンを検出および収集するように設計されています。ターゲットにされた認証情報には、GitHubおよびnpmトークン、AWSおよびGCP認証情報、MCPおよびAIエージェント設定からのAPIキー、Git認証情報、SSHキーなどが含まれます。

GitHubトークンが見つかった場合、悪意あるコードはhttps://api.github.com/userに接触し、GitHub Actionsの実行やワークフロー内の機密情報のリストアップを含むいくつかのエスカレーションパスを試すことで、それらを自動的に兵器化します。

「これは受動的な認証情報盗難ではありません」とJFrog研究者は述べています。「これは、GitHub ホストの自動化環境からより多くの秘密資料を抽出するために構築された二次的なアクセスメカニズムです。」

Bitwarden CLIインストールが悪意あるバージョン2026.4.0に更新されたと判断したユーザーは、マシン上に存在する開発者およびクラウド認証情報が侵害されていると想定し、直ちにローテーションする必要があります。この攻撃者グループの目的は、追加のソフトウェア供給チェーン攻撃を可能にする認証情報を収集することです。

悪意あるバージョンをアンインストール、npmキャッシュをクリア、システムからbw1.jsbw_setup.jsを削除した後、JFrog研究者は以下を推奨しています:

  • 影響を受けたシステムに存在するすべてのGitHub PATを取り消す
  • npmトークンをローテーションしてCI公開トークンを無効にする
  • AWSアクセスキーをローテーションしてSSM およびSecrets Managerへのアクセスをレビューする
  • Azure Key Vault監査ログをレビューして影響を受けた機密情報をローテーションする
  • GCP Secret Manager アクセスログをレビューして影響を受けた機密情報をローテーションする
  • 不正な実行またはブランチについてGitHub Actions ワークフローおよびリポジトリアーティファクトを検査する
  • シェル履歴およびAIツール構成ファイルをレビューして機密データの漏洩を確認する
  • ネットワークエグレスポイントでaudit[.]checkmarx[.]cx および 94[.]154[.]172[.]43をブロックする
  • 信頼できないインストールのignore-scriptsを含め、可能な限りnpmスクリプトコントロールを実施する

翻訳元: https://www.csoonline.com/article/4162865/bitwarden-cli-password-manager-trojanized-in-supply-chain-attack.html

ソース: csoonline.com
#Bitwarden #CI/CD侵害 #GitHub Actions #npm #TeamPCP #セキュリティ脅威 #トロイの木馬 #マルウェア #供給チェーン攻撃 #認証情報盗難

関連記事

GoogleがAIハッカーからシステムを保護するAIエージェントを立案

エンタープライズのサイバーレジリエンスを向上させるAI脅威検出の3つの実践的な方法

ショーン・プランキーのCISA指名が脱線した奇妙なケース