門戶新聞訊息,4月24日——根據 SlowMist 首席資訊安全官 23pds 的說法,Bitwarden CLI 版本 2026.4.0 在 4 月 24 日美東時間 17:57 至 19:30 之間遭受了一起供應鏈攻擊而被竄改。在這起攻擊中,攻擊者利用 Bitwarden 的 CI/CD 管線中的 GitHub Actions,植入了一個惡意套件,該惡意套件曾短暫地透過 npm 發行。
此次攻擊針對該儲存庫的持續整合工作流程,使未經授權的程式碼得以到達套件登錄中心。不過,Bitwarden 已確認 Vault 資料未受影響、生產系統未受影響,且僅有在 1.5 小時的時間窗內從 npm 安裝了 2026.4.0 版本的使用者受到影響。
Bitwarden 建議受影響使用者立刻解除安裝 2026.4.0 版本,清除 npm 快取,輪換 API 代幣與 SSH 金鑰,針對異常情況審計 GitHub 與 CI 活動,並升級至已修補的 2026.4.1 版本。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Zondacrypto 交易所遇 3.5 億美元挪用指控,執行長公開否認
波蘭最大加密貨幣交易所之一 Zondacrypto 的執行長普熱米斯瓦夫·克拉爾(Przemysław Kral)於 4 月 16 日在社群媒體上公開聲明,該交易所無法存取一個持有 4,503 枚比特幣的錢包,現值逾 3.5 億美元。克拉爾公布了涉事錢包地址以否認挪用指控,但此一披露隨即引發大規模提現。
Market Whisper4分鐘前
Bitwarden CLI 惡意 npm 包曝光,加密錢包面臨竊取風險
慢霧首席資訊安全長 23pds 轉發 Bitwarden 安全團隊警告,Bitwarden CLI 2026.4.0 版本曾於 4 月 22 日美東時間下午 5:57 至 7:30 的 1.5 小時內,通過 npm 發布惡意包被篡改的 npm 版本已被撤回,Bitwarden 官方確認密碼金庫數據和生產系統未受影響。
Market Whisper10分鐘前
摩根大通:KelpDAO 漏洞抹去 200 億 DeFi TVL,機構吸引力受損
由分析師 Nikolaos Panigirtzoglou 領銜的摩根大通研究團隊,於 4 月 23 日發布報告指出,持續存在的安全漏洞與停滯不前的總鎖定價值(TVL)正在削弱去中心化金融(DeFi)對機構投資者的吸引力。報告強調,KelpDAO 漏洞在數日內抹去約 200 億美元的 DeFi TVL,暴露出結構性風險。
Market Whisper13分鐘前
慢霧預警:北韓黑客組織招聘誘騙 Web3 開發者,3 個月竊 1200 萬
安全機構慢霧發布緊急預警,北韓 Lazarus 組織旗下子組織 HexagonalRodent 正針對 Web3 開發者發動攻擊,透過高薪遠程崗位等社交工程手段,誘導開發者執行包含惡意軟件後門的技能評估代碼,最終竊取加密資產。根據 Expel 調查報告,2026 年前三個月,損失金額達 1,200 萬美元。
Market Whisper18分鐘前
CryptoQuant:KelpDAO 漏洞引爆 2024 年來最嚴重危機,Aave TVL 暴跌 33%
根據 CryptoQuant 於 4 月 23 日評估,上週發生的 KelpDAO 漏洞攻擊,在 72 小時內使 Aave 面臨 1.24 億至 2.3 億美元的潛在壞帳風險,TVL 暴跌 33%,USDT 和 USDC 借款利率從 3.4% 飆升至 14%,ETH 借款利率升至 2024 年 1 月來最高水準 8%。
Market Whisper50分鐘前
