Взлом Bitwarden CLI: атака Shai-Hulud на цепочку поставок

Bitwarden CLI compromise Shai-Hulud malware npm supply chain attack cybersecurity news GitHub token theft developer security
N
Natalie Ferreira

Consumer Privacy & Identity Theft Prevention Writer

 
24 апреля 2026 г.
3 мин. чтения
Взлом Bitwarden CLI: атака Shai-Hulud на цепочку поставок

TL;DR

Эксперты OX Security и Socket выявили бэкдор в npm-пакете @bitwarden/cli версии 2026.4.0. Вредоносный код Shai-Hulud внедряет файл bw1.js для самораспространения. Атака нацелена на разработчиков и компании, использующие интерфейс командной строки Bitwarden. Десктопные приложения и расширения для браузеров не пострадали, однако пользователям CLI рекомендуется немедленно проверить свои системы.

Bitwarden CLI скомпрометирован в результате атаки на цепочку поставок Shai-Hulud

Анализ, проведенный компаниями OX Security и Socket, подтвердил наличие бэкдора в npm-пакете @bitwarden/cli. Вредоносная версия 2026.4.0 содержит самораспространяющийся червь, известный под названием «Shai-Hulud». Эта атака нацелена на разработчиков и бизнес: в пакет внедряется файл bw1.js. Хотя десктопное приложение и расширения Bitwarden для браузеров остаются в безопасности, компрометация CLI-инструмента, которым пользуются более 10 миллионов человек, вызывает серьезные опасения у тех, кто заботится о безопасности и конфиденциальности в сети.

Shai Hulud news

Изображение предоставлено OX Security

Технический анализ вредоносной нагрузки

Вредоносное ПО запускается на этапе preinstall через скрипт bw_setup.js. Оно загружает Bun v1.3.13 для выполнения кода в bw1.js. Примечательной особенностью является наличие «kill switch» для русской локали: вирус проверяет язык хост-машины и прекращает работу, если установлен русский язык. Это указывает на то, что создатели, вероятно, стремятся избежать заражения систем в своем регионе. Тем, кто обеспокоен подобными региональными угрозами, использование SquirrelVPN поможет скрыть цифровой след и повысить общую интернет-безопасность.

image

Изображение предоставлено OX Security

Эксфильтрация данных и интеграция с GitHub

После активации червь начинает сбор широкого спектра конфиденциальных данных. Его целями становятся токены GitHub, учетные данные AWS, токены Azure и информация GCP. Украденные данные шифруются по алгоритму AES-256-GCM, а затем загружаются в специально созданный публичный репозиторий в собственном аккаунте GitHub жертвы. Эти репозитории часто имеют названия в стиле вселенной «Дюны», например, «Shai-Hulud: The Third Coming». Исследователи из JFrog Security также отметили использование инструмента TruffleHog для сканирования зараженной системы на наличие скрытых секретов.

Shai-Hulud Infection Analysis

Изображение предоставлено OX Security

Распространение через цепочку поставок и закрепление в системе

Вредонос не просто крадет данные — он пытается распространяться дальше. Используя украденные токены npm, червь ищет другие пакеты, к которым у разработчика есть права доступа на редактирование. Затем он внедряет вредоносный код в эти пакеты и переопубликовывает их, запуская цикл заново. Для закрепления в системе вирус модифицирует профили оболочки, такие как ~/.bashrc и ~/.zshrc. Подобные тренды в киберпреступности лишний раз доказывают, почему управление многофакторной аутентификацией и регулярная ротация ключей жизненно необходимы для любого ИТ-специалиста.

image

Изображение предоставлено OX Security

Рекомендуемый чек-лист по безопасности

Если вы использовали Bitwarden CLI в течение последних 24 часов, выполните следующие шаги для защиты вашего окружения:

  • Немедленно откатите версию: Смените версию npm-пакета на 2026.3.0 или ниже.
  • Обеспечьте ротацию всех ключей: Это касается персональных токенов доступа GitHub, ключей доступа AWS и токенов npm.
  • Проведите аудит репозиториев: Проверьте свой GitHub-аккаунт на наличие несанкционированных публичных репозиториев с упоминанием «Shai-Hulud» в описании.
  • Проверьте систему на наличие следов: Ищите lock-файл по пути /tmp/tmp.987654321.lock и проверьте конфигурационные файлы вашей оболочки на наличие подозрительного кода.
  • Включите 2FA: Всегда используйте многофакторную аутентификацию во всех аккаунтах разработчика и облачных сервисах, чтобы предотвратить несанкционированный доступ даже в случае кражи токена.

image

Изображение предоставлено OX Security

Защитите свою цифровую жизнь и будьте в курсе последних угроз благодаря экспертным материалам на squirrelvpn.com.

N
Natalie Ferreira

Consumer Privacy & Identity Theft Prevention Writer

 

Natalie Ferreira is a consumer technology writer who specializes in identity theft prevention, online safety, and digital literacy. After experiencing identity theft firsthand, she dedicated her career to educating the public about personal data protection. Natalie has written for major consumer technology outlets and holds a degree in Journalism from Columbia University. She focuses on making cybersecurity approachable for families, seniors, and first-time internet users who may feel overwhelmed by the technical jargon.

Новости по теме

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Автор: Viktor Sokolov 10 июля 2026 г. 4 мин. чтения
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Автор: Marcus Chen 9 июля 2026 г. 4 мин. чтения
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Автор: Elena Voss 8 июля 2026 г. 4 мин. чтения
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Автор: James Okoro 7 июля 2026 г. 4 мин. чтения
common.read_full_article