Компрометация BitWarden CLI

У Bitwarden CLI 22 апреля скомпрометировали пакет на npm под доставку инфостилера — конечно же, в атаке на цепочку поставок. При виде таких воодушевляющих новостей в ИБ-чатики полетели “it’s over” и “gg”. Но по сути отделались испугом.

Затронут был только механизм доставки пакета, только на npm, и только у CLI. И время реакции — моё почтение: пара часов от компрометации до митигации. Bitwarden сообщает, что данные в хранилищах юзеров затронуты не были, прод у них тоже не пострадал, а вредоносный пакет успели скачать всего 334 счастливчика.

По итогам у нас очередная халтурная supply chain attack — шумная, мгновенно обнаруженная и закрытая. Но после легендарных успехов LastPass на ниве защиты пользовательских данных любые шевеления в районе менеджера паролей немедленно вызывают тряску у всех причастных. В этот раз более-менее обошлось, можно расслабиться.

К вопросу об атаке на цепочку поставок, затронувшей Bitwarden CLI. Выше был скомпрометирован сканер уязвимостей Checkmarx KICS, включая образы Docker и расширения VSCode и Open VSX.

Троянизированные версии подтягивают MCP-аддон с инфостилером, который стягивает данные, обрабатываемые KICS — всевозможные токены, креды и конфиги. Всё это заливается в публичные репозитории на GitHub. Окно компрометации как и в случае с Bitwarden CLI небольшое — около полутора часов 22 апреля, но скачивания есть. Собственно, у самой Bitwarden и скомпрометировали связанный с Checkmarx инструмент.

За атакой стоят те же злоумышленники, кто ранее более успешно вскрыли Trivy и LiteLMM. Руку набили, продолжают в том же духе, а в сухом остатке у нас всю весну новости формата “Я просыпаюсь → там очередная атака на цепочку поставок”. Как было, например, с CPU-Z. А ведь ещё только апрель.