Bitwarden CLI npm Package ถูกแทรก Malware ขโมย Credential นักพัฒนา

April 24, 2026 Cybersecurity, Threats Update

แพ็กเกจ @bitwarden/cli บน npm ถูกผู้โจมตีแทรกโค้ดอันตรายที่ขโมย credential ของนักพัฒนา โดยเวอร์ชันที่มีปัญหาถูกเผยแพร่ราว 1 ชั่วโมงครึ่งก่อนถูกถอดออก

Credit: solarseven/ShutterStock.com

Socket, JFrog และ OX Security รายงานว่าแพ็กเกจเวอร์ชัน 2026.4.0 ที่มีโค้ดอันตรายถูกเผยแพร่บน npm ระหว่างเวลา 5:57 PM ถึง 7:30 PM ET ของวันที่ 22 เมษายน 2026 โดยผู้โจมตีใช้ประโยชน์จาก GitHub Action ที่ถูก compromise ใน CI/CD pipeline ของ Bitwarden เพื่อ inject โค้ดอันตรายเข้าไปในแพ็กเกจ ทาง Bitwarden ยืนยันว่าเหตุการณ์นี้กระทบเฉพาะช่องทางการเผยแพร่ผ่าน npm เท่านั้น ไม่มีหลักฐานว่าข้อมูล Vault ของผู้ใช้งานถูกเข้าถึงหรือระบบ production ถูกกระทบแต่อย่างใด โดยบริษัทได้เพิกถอนสิทธิ์การเข้าถึงที่ถูก compromise และถอดเวอร์ชันที่มีปัญหาออกแล้ว

ในส่วนของการทำงานทางเทคนิค แพ็กเกจที่ถูกดัดแปลงจะใช้ preinstall script และ entry point ที่โหลด loader ชื่อ bw_setup.js ซึ่งจะตรวจหา Bun runtime และดาวน์โหลดมาติดตั้งหากยังไม่มี จากนั้นจะใช้ Bun เพื่อรัน JavaScript ที่ถูก obfuscate ชื่อ bw1.js ซึ่งทำหน้าที่เป็น malware ขโมย credential เมื่อถูกรันจะรวบรวมข้อมูลสำคัญจากระบบ ได้แก่ npm tokens, GitHub authentication tokens, SSH keys และ credential ของ cloud อย่าง AWS, Azure และ Google Cloud จากนั้นจะเข้ารหัสข้อมูลด้วย AES-256-GCM และส่งออกโดยสร้าง repository สาธารณะบน GitHub ภายใต้บัญชีของเหยื่อ นอกจากนี้ malware ยังมีความสามารถในการแพร่กระจายตัวเอง โดยใช้ npm credential ที่ขโมยมาเพื่อค้นหาแพ็กเกจอื่นที่เหยื่อมีสิทธิ์แก้ไขและแทรกโค้ดอันตรายเข้าไป

Bitwarden ระบุว่าเหตุการณ์นี้มีความเชื่อมโยงกับการโจมตี supply chain ของ Checkmarx ที่ถูกเปิดเผยก่อนหน้านี้ โดย development tool ที่เกี่ยวข้องกับ Checkmarx ที่ถูก compromise ถูกใช้เป็นช่องทางในการเข้าถึง npm delivery path ของ CLI ทาง Socket ยืนยันว่ามี indicator ที่ทับซ้อนกันระหว่างทั้งสองเหตุการณ์ ทั้งในระดับ malware และ infrastructure รวมถึงรูปแบบการขโมย credential และการใช้ GitHub ในการส่งข้อมูลออก โดยทั้งสองแคมเปญนี้ถูกเชื่อมโยงกับกลุ่มผู้โจมตีที่รู้จักในชื่อ TeamPCP ซึ่งเคยอยู่เบื้องหลังการโจมตี supply chain ต่อ Trivy และ LiteLLM มาก่อน นักพัฒนาที่ติดตั้งเวอร์ชันที่ได้รับผลกระทบควรถือว่าระบบและ credential ทั้งหมดถูก compromise และดำเนินการเปลี่ยน credential ทั้งหมดโดยด่วน โดยเฉพาะที่ใช้ใน CI/CD pipeline, cloud storage และ development environment

ที่มา: https://www.bleepingcomputer.com/news/security/bitwarden-cli-npm-package-compromised-to-steal-developer-credentials/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Permiso Security เปิดตัวฟีเจอร์ความมั่นคงปลอดภัยตัวตนเอเจนต์ AI ขณะทำงานสำหรับองค์กร

Permiso Security ผู้ให้บริการแพลตฟอร์มความมั่นคงปลอดภัยด้านอัตลักษณ์แบบรวมศูนย์ ได้เปิดตัวความสามารถใหม่ด้านความมั่นคงปลอดภัยสำหรับเอเจนต์ AI ขณะทำงาน เพื่อช่วยให้ทีมความมั่นคงปลอดภัยสามารถมองเห็นกิจกรรมของเอเจนต์ได้อย่างต่อเนื่อง ทั้งบนสภาพแวดล้อมคลาวด์และออนพรีมิส โดยมี Autodesk ลงนามเป็นลูกค้ารายแรกในช่วงเปิดตัวนี้

สคส. ปักธง “องค์กรต้นแบบสิทธิมนุษยชน” ยกระดับคุ้มครองข้อมูลส่วนบุคคล–รับมือภัยไซเบอร์ [PR]

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เดินหน้ายกระดับการคุ้มครองข้อมูลส่วนบุคคลสู่ “วาระสิทธิมนุษยชนดิจิทัล” อย่างเป็นรูปธรรม ผ่าน “แผนปฏิบัติการด้านสิทธิมนุษยชน สคส. ประจำปีงบประมาณ พ.ศ. 2569” ที่มุ่งวางรากฐานให้องค์กรก้าวสู่ “องค์กรต้นแบบด้านสิทธิมนุษยชน” ของประเทศ ท่ามกลางความท้าทายจากเทคโนโลยี AI อาชญากรรมไซเบอร์ การละเมิดข้อมูล และความเสี่ยงด้านสิทธิในยุคดิจิทัล

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand