Gói NPM của Bitwarden bị tấn công chuỗi cung ứng, đánh cắp thông tin xác thực đám mây

Gói Bitwarden CLI trên NPM vừa bị phát hiện chứa mã độc trong một cuộc tấn công chuỗi cung ứng phức tạp. Mã độc này nhắm đến việc đánh cắp các khóa bí mật và thông tin xác thực từ các nền tảng như AWS, Azure và GitHub. Bitwarden đã xác nhận sự cố nhưng cho biết dữ liệu kho người dùng cuối vẫn an toàn.

Tấn công chuỗi cung ứng phần mềm

Bitwarden, một trong những nền tảng quản lý mật khẩu mã nguồn mở phổ biến nhất với hơn 250.000 lượt tải xuống hàng tháng, đã trở thành nạn nhân mới nhất của các cuộc tấn công chuỗi cung ứng. Vào thứ Năm, nhiều công ty an ninh mạng đã cảnh báo rằng phiên bản 2026.4.0 của gói NPM cho giao diện dòng lệnh (CLI) của Bitwarden đã bị chèn mã độc.

Mã độc trong gói này được thiết kế để thay đổi đường dẫn thực thi, tải xuống một tệp lưu trữ Bun từ GitHub, giải nén và thực thi một payload JavaScript nguy hiểm. Theo JFrog, phần mềm độc hại này chứa ba bộ thu thập dữ liệu nhắm đến các bí mật và mã thông báo trên Azure, AWS, GitHub, GCP và NPM, cũng như vật liệu SSH, lịch sử shell và các tệp cấu hình công cụ AI.

Cơ chế rò rỉ dữ liệu qua GitHub

Điểm đáng chú ý nhất của phần mềm độc hại này là cách nó sử dụng các mã thông báo GitHub bị đánh cắp để lạm dụng GitHub Actions. Nó tạo ra các kho lưu trữ trong tài khoản của nạn nhân, tạo các nhánh, cam kết các tệp quy trình làm việc và tải xuống các tạo phẩm kết quả để trích xuất thêm dữ liệu bí mật.

Nếu việc rò rỉ dữ liệu qua HTTPS thất bại, phần mềm độc hại sẽ chuyển sang sử dụng các đường dẫn GitHub. JFrog nhận định: "Thay vì dừng lại ở tệp .npmrc hay một mã thông báo truy cập cá nhân (PAT), phần mềm độc hại có hệ thống chuyển hướng từ thông tin đăng nhập cục bộ, bí mật CI, kho lưu trữ GitHub đến nhiều kho lưu trữ bí mật đám mây khác."

Phản hồi từ Bitwarden và liên kết với Checkmarx

Bitwarden đã xác nhận vụ hack chuỗi cung ứng này, nhưng nhấn mạnh rằng cuộc điều tra của họ "không tìm thấy bằng chứng cho thấy dữ liệu kho của người dùng cuối bị truy cập hoặc gặp rủi ro, cũng như dữ liệu sản xuất hoặc hệ thống sản xuất không bị xâm phạm".

Cuộc tấn công này dường như có liên quan mật thiết đến vụ tấn công chuỗi cung ứng gần đây vào Checkmarx, ảnh hưởng đến hình ảnh DockerHub KICS, ast-github-action và tiện ích mở rộng VS Code của công ty này. Socket cho biết cả hai sự cố đều sử dụng cùng một cấu trúc payload nhúng, phương pháp thu thập thông tin xác thực và kỹ thuật lan truyền.

Mã độc và lỗ hổng bảo mật

Tác nhân đe dọa TeamPCP và sâu Shai-Hulud

Sự phức tạp trong việc quy trách nhiệm xuất phát từ việc nhóm hacker TeamPCP đã nhận trách nhiệm cho vụ tấn công Checkmarx, trong khi sự cố Bitwarden lại tham chiếu đến sâu máy tính Shai-Hulud từng lan tràn trên NPM vào năm ngoái.

Payload trong sự cố Bitwarden chứa chuỗi "Shai-Hulud: The Third Coming", gợi ý rằng đây là giai đoạn mới nhất của các chiến dịch trước đó. Shai-Hulud lần đầu tiên xuất hiện trong sổ đăng ký NPM vào tháng 9 và đã lây lan cho hơn 180 gói. OX Security cảnh báo rằng việc dữ liệu bị rò rỉ công khai lên GitHub tạo ra rủi ro cực lớn vì bất kỳ ai tìm kiếm trên GitHub đều có thể tìm thấy và truy cập vào các thông tin xác thực đó.

"Dữ liệu người dùng đang bị rò rỉ công khai lên GitHub, thường không bị phát hiện vì các công cụ bảo mật thường không gắn cờ dữ liệu được gửi đến đó. Điều này làm cho rủi ro trở nên nguy hiểm hơn đáng kể: bất kỳ ai tìm kiếm trên GitHub đều có thể tìm thấy và truy cập vào các thông tin xác thực đó. Lúc này, dữ liệu nhạy cảm không còn nằm trong tay một tác nhân đe dọa duy nhất; nó đã bị phơi bày với bất kỳ ai," - Moshe Ben Siman Tov, trưởng nhóm OX Security cho biết.