Tin tức Cổng, ngày 24 tháng 4 — Theo CISO SlowMist 23pds, phiên bản Bitwarden CLI 2026.4.0 đã bị xâm phạm trong một cuộc tấn công chuỗi cung ứng trong khoảng từ 17:57 đến 19:30 ET vào ngày 24 tháng 4. Kẻ tấn công đã khai thác GitHub Actions trong quy trình CI/CD của Bitwarden để chèn một gói mã độc đã được phân phối tạm thời qua npm.
Cuộc tấn công nhắm vào quy trình tích hợp liên tục của kho lưu trữ (repository), cho phép mã trái phép đến được kho đăng ký gói (package registry). Tuy nhiên, Bitwarden xác nhận rằng dữ liệu Vault không bị ảnh hưởng, các hệ thống sản xuất không bị tác động, và chỉ những người dùng cài đặt phiên bản 2026.4.0 từ npm trong khung thời gian 1,5 giờ bị ảnh hưởng.
Bitwarden khuyến cáo người dùng bị ảnh hưởng hãy lập tức gỡ cài đặt phiên bản 2026.4.0, xóa bộ nhớ đệm npm, xoay vòng (rotate) token API và khóa SSH, kiểm tra (audit) hoạt động GitHub và CI để phát hiện bất thường, và nâng cấp lên phiên bản đã vá 2026.4.1.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Sàn giao dịch Zondacrypto vướng cáo buộc biển thủ 350 triệu USD, CEO công khai phủ nhận
Một trong những sàn giao dịch tiền mã hóa lớn nhất tại Ba Lan, CEO của Zondacrypto là Przemysław Kral đã công khai tuyên bố trên mạng xã hội vào ngày 16 tháng 4 rằng sàn này không thể truy cập một ví chứa 4,503 Bitcoin, hiện có giá trị hơn 350 triệu USD. Ông Kral đã công bố địa chỉ ví liên quan để bác bỏ cáo buộc biển thủ, nhưng ngay sau sự tiết lộ này, đã xảy ra tình trạng rút tiền hàng loạt.
MarketWhisper4phút trước
Bitwarden CLI bị lộ gói npm độc hại, ví tiền mã hóa đối mặt với rủi ro bị đánh cắp
Mục tiêu: “Slow Fog” Giám đốc an ninh thông tin cấp cao 23pds chuyển tiếp cảnh báo của nhóm bảo mật Bitwarden. Phiên bản Bitwarden CLI 2026.4.0 đã từng, trong khoảng 1,5 giờ từ 5:57 đến 7:30 chiều theo giờ miền Đông nước Mỹ ngày 22 tháng 4, bị phát hiện là đã bị can thiệp, dẫn đến việc các phiên bản npm chứa gói tin độc hại được phát tán thông qua npm đã bị thu hồi; Bitwarden chính thức xác nhận rằng dữ liệu kho mật khẩu và các hệ thống sản xuất không bị ảnh hưởng.
MarketWhisper10phút trước
JPMorgan: Lỗi KelpDAO xóa sổ 20 tỷ DeFi TVL, sức hấp dẫn của tổ chức bị suy giảm
Báo cáo do nhóm nghiên cứu của JPMorgan, do nhà phân tích Nikolaos Panigirtzoglou dẫn dắt, công bố vào ngày 23 tháng 4 cho biết, các lỗ hổng bảo mật dai dẳng và tổng giá trị khóa (TVL) ì ạch đang làm suy yếu sức hấp dẫn của tài chính phi tập trung (DeFi) đối với các nhà đầu tư tổ chức. Báo cáo nhấn mạnh rằng lỗ hổng của KelpDAO đã xóa đi khoảng 200 tỷ USD DeFi TVL trong vài ngày, phơi bày rủi ro mang tính cấu trúc.
MarketWhisper13phút trước
Cảnh báo mù sương: Tổ chức hacker Triều Tiên tuyển dụng để lừa các nhà phát triển Web3, trong 3 tháng trộm 12 triệu
Cơ quan an ninh Slow Mist phát cảnh báo khẩn cấp, tổ chức Lazarus của Triều Tiên đang tấn công các nhà phát triển Web3 thông qua tổ chức con HexagonalRodent trực thuộc. Thông qua các thủ đoạn kỹ thuật xã hội như vị trí từ xa lương cao, chúng dụ dỗ các nhà phát triển thực thi mã đánh giá kỹ năng bao gồm mã nguồn cửa hậu phần mềm độc hại, cuối cùng đánh cắp tài sản mã hóa. Theo báo cáo điều tra của Expel, trong ba tháng đầu năm 2026, số tiền thiệt hại đạt 12,0 triệu USD.
MarketWhisper18phút trước
CryptoQuant: KelpDAO bị khai thác lỗ hổng, một trong những cuộc khủng hoảng nghiêm trọng nhất kể từ năm 2024, Aave TVL giảm 33%
Theo đánh giá của CryptoQuant vào ngày 23 tháng 4, cuộc tấn công lỗ hổng của KelpDAO xảy ra trong tuần trước đã tạo ra rủi ro nợ xấu tiềm ẩn cho Aave trong vòng 72 giờ từ 124 triệu đến 230 triệu USD, TVL sụt giảm 33%, lãi suất vay đối với USDT và USDC đã tăng vọt từ 3,4% lên 14%, và lãi suất vay ETH đạt mức cao nhất kể từ tháng 1 năm 2024 là 8%.
MarketWhisper50phút trước
