کمیته رکن چهارم – ابزار خط فرمان Bitwarden برای مدت کوتاهی در یک حمله زنجیره تأمین در npm آلوده شد و نسخهای مخرب با هدف سرقت اطلاعات منتشر گردید. این حادثه نگرانیهایی درباره امنیت زنجیره توسعه نرمافزار ایجاد کرده است.
به گزارش کمیته رکن چهارم، نسخه ۲۰۲۶٫۴٫۰ از Bitwarden CLI در بازه زمانی کوتاهی در دسترس قرار گرفت که حاوی کد مخرب بود. بررسیها نشان میدهد که این آلودگی تنها توزیع npm این ابزار را تحت تأثیر قرار داده و دادههای کاربران در vault یا زیرساختهای اصلی دچار نقض نشدهاند.
بر اساس اطلاعات منتشرشده، مهاجمان از طریق یک فرآیند CI/CD و با سوءاستفاده از یک GitHub Action آلوده، کد مخرب را به پکیج تزریق کردهاند. این بدافزار پس از اجرا، اقدام به جمعآوری اطلاعات حساسی مانند توکنهای npm و GitHub، کلیدهای SSH و اعتبارنامههای سرویسهای ابری میکرد.
در ادامه، دادههای جمعآوریشده پس از رمزگذاری، بهصورت مخفیانه در مخازن عمومی GitHub بارگذاری میشدند. همچنین این بدافزار قابلیت گسترش به سایر پکیجها را داشته و میتوانست با استفاده از دسترسیهای سرقتشده، زنجیره حمله را توسعه دهد.
یک منبع مطلع از این پرونده به کمیته رکن چهارم گفت: «این نوع حملات نشان میدهد که زنجیره تأمین نرمافزار، بهویژه در محیطهای توسعه، به یکی از اهداف اصلی مهاجمان تبدیل شده است.»
پیشینه
در سالهای اخیر، حملات زنجیره تأمین بهویژه در اکوسیستم npm و ابزارهای توسعه افزایش یافته است. در این نوع حملات، مهاجمان با نفوذ به ابزارها یا فرآیندهای توسعه، کد مخرب را بهصورت غیرمستقیم در اختیار کاربران قرار میدهند.
جمعبندی
این حادثه نشان میدهد که حتی ابزارهای مرتبط با امنیت نیز میتوانند هدف حملات قرار گیرند و اهمیت حفاظت از فرآیندهای توسعه و مدیریت دقیق دسترسیها بیش از پیش افزایش یافته است.
منبع: BleepingComputer
