Bitwarden CLI npm包遭供给链攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

Bitwarden CLI npm包遭供给链攻击

颁布功夫 2026-04-27

1. Zimbra邮件系统XSS缝隙遭持续攻击

4月24日，据非投机安全组织Shadowserver忠告，超过10,000个露出在网络上的Zimbra Collaboration Suite事俘正面对持续的跨站剧本攻击。Zimbra是一款在全球拥罕见亿用户的盛行电子邮件和合作软件套件，宽泛服务于数百个当局机构和数千家企业。被利用的缝隙编号为CVE-2025-48700，影响ZCS 8.8.15、9.0、10.0和10.1版本，允许未经身份验证的攻击者在用户会话中执行肆意JavaScript代码，进而窃取敏感信息。供给商Synacor已于2025年6月颁布安全补丁，并忠告该缝隙利用无需用户交互，当用户在Zimbra Classic UI中查看恶意机关的电子邮件时即可触发。CISA基于现实利用的证据，将该缝隙象征为已被利用并列入已知利用缝隙目录，同时号令联国民事行政部门机构在4月23日前实现Zimbra服务器的安全加固。周五，Shadowserver进一步发出忠告，仍有超过10,500台露出在表的Zimbra服务器未打补丁，其中大部门位于亚洲（3,794台）和欧洲（3,793台）。

https://www.bleepingcomputer.com/news/security/cisa-says-zimbra-flaw-now-exploited-over-10k-servers-vulnerable/

2. 公用事业技术公司Itron遭网络攻击

4月26日，公用事业技术公司Itron, Inc.近日披露，一次网络攻击导致未经授权的第三方接见了其部门内部系统。该公司在提交给美国证券买卖委员会的8-K文件中暗示，上个月检测到该活动后，立即启动了网络安全响应打算，通知了法律部门，并礼聘了表部照拂以支持调查和事务节造。目前，未经授权的活动已被阻止，公司暗示没有发现任何后续活动。Itron是一家总部位于华盛顿的上市公司，为能源和水资源治理提供公用事业技术产品和服务。只管这次事务涉及内部系统被犯法接见，但Itron强调，这并未对业务运营造成内容性滋扰，目前预计也不会产生任何后续影响。此表，该公司预计大部门与事务有关的成本将由保险承担。Itron还指出，这次未经授权的活动并未波及客户。然而，必要把稳的是，对该事务的领域和影响的调查仍在进行中。截至目前，尚无勒索软件组织宣称对这次攻击掌管。

https://www.bleepingcomputer.com/news/security/american-utility-firm-itron-discloses-breach-of-internal-it-network/

3. ADT遭数据泄露，ShinyHunters勒索千万笔纪录

4月24日，家庭安全巨头ADT近日证实产生了一路数据泄露事务，此前勒索组织ShinyHunters威胁称，除非支付赎金，不然将公开被盗数据。ADT于4月20日检测到未经授权接见客户和潜在客户数据的行为，随后立即终止了入侵并发展调查。调查了局显示，这次事务中幼我信息被盗，但领域有限。ADT暗示，泄露的信息仅限于姓名、电话号码和地址，在极少数情况下还蕴含诞生日期和社保号码或税号的后四位。至关沉要的一点是，没有任何支付信息（蕴含银行账户或信誉卡信息）被获取，客户的安整系统也未受到任何影响或侵害。ADT强调已联系所有受影响人员。此前，ShinyHunters已在其数据泄露网站上颁布ADT，宣称窃取了蕴含1000万条客户幼我身份信息及其他内部公司数据的纪录，并颁布了最后通牒，要求ADT在2026年4月27日前与其联系并支付赎金，不然将公开数据。ADT并未证实攻击者宣称的数据窃取量。ShinyHunters泄漏，他们通过语音垂钓攻击入侵ADT，导致一名员工的Okta单点登录账户被盗，进而利用该账户接见并窃取了ADT Salesforce系统中的数据。

https://www.bleepingcomputer.com/news/security/adt-confirms-data-breach-after-shinyhunters-leak-threat/

4. 勒索组织BlackFile借语音垂钓攻击零售与酒店业

4月24日，自2026年2月以来，一个名为BlackFile的以经济利益为主张的新兴黑客组织与一系列针对零售和酒店业的数据偷窃及勒索攻击有关。据Palo Alto Networks的Unit 42与零售和酒店信息共享与分析中心披露，该组织（亦称CL-CRI-1116、UNC6671和Cordial Spider）通过假意企业IT服务台人员窃取员工凭证，并向受害者索要七位数赎金。BlackFile的攻击始于使用伪造号码给员工打电话，威胁者假意IT支持人员，诱骗员工接见虚伪的企业登录页面，要求输入痛处和一次性密码。攻击者利用窃取的凭证注册自己的设备以绕过多成分认证，随后通过抓取内部员工目录提升对高管级账户的接见权限。该组织使用尺度API函数从受害者的Salesforce和SharePoint服务器窃取数据，专门搜索蕴含“机密”和“SSN”等敏感术语的文件。窃取的文件被下载到攻击者节造的服务器，并颁布到该团伙的暗网数据泄露网站，随后受害者会通过被入侵的员工电子邮件账户或随机天生的Gmail地址收到赎金要求。

https://www.bleepingcomputer.com/news/security/new-blackfile-extortion-gang-targets-retail-and-hospitality-orgs/

5. ShinyHunters宣称入侵在线进建平台Udemy

4月24日，勒索组织ShinyHunters近日宣称已成功入侵在线进建平台Udemy，并威胁要颁布超过140万条蕴含幼我身份信息及其他内部公司数据的纪录。2026年4月24日，该臭名远扬的网络犯罪团伙将Udemy列入其暗网受害者名单，并发出最后通牒，要求公司在2026年4月27日前联系他们并支付赎金，不然将公开泄露数据。截至目前，该说法尚未得到官方证实，ShinyHunters也未像此前攻击其他公司时那样附上样本数据或截图以佐证其主张。Udemy是全球当先的在线进建平台之一，2024年估计占有7700万在线进建者，自那时起这一数字可能还在增长。目前尚不明显据称泄露的140万笔纪录具体蕴含哪些用户群体的信息，可能是通常学员、讲师、员工或这些群体的组合。但无论若何，140万笔纪录都是一个重大的数字，其潜在后果极度严沉，除了不言而喻的诳骗和金融诓骗风险表，这些数据还可能为攻击者提供窥伺素材，由于很多人使用Udemy课程来提升职业技术。

https://cybernews.com/security/shinyhunters-claim-udemy-data-theft/

6. Bitwarden CLI npm包遭供给链攻击

4月24日，持续不休的软件供给链黑客攻击海潮如今波及到了最受迎接的密码治理器之一Bitwarden。攻击者在其号令行工具的npm包中植入了恶意软件。Bitwarden暗示，用户密码库数据依然无缺无损，通常用户未受影响，但部门隔发者必要警惕。那些此前入侵Checkmarx安全工具的攻击者，同样找到了入侵Bitwarden npm包的步骤，在npm代码库中颁布了一个带有恶意软件的CLI版本。Bitwarden CLI是供高级用户或系统治理员以编程方式与密码治理器交互的终端工具。Bitwarden安全团队确认，事务产生在2026年4月22日下午5:57至晚上7:30（美国东部功夫）之间。在短暂的窗堪②内下载了CLI版本2026.4.0的用户，务必将系统视为已被入侵并如果痛处已泄露。据Arnica结合首创人兼首席技术官Eran Medan泄漏，固然超过1000万用户使用Bitwarden的开源密码治理器，但只有334位开发者下载了恶意CLI工具。StepSecurity分析指出，这次网络攻击源于Bitwarden一名工程师的GitHub账户被盗用。

https://cybernews.com/security/bitwarden-cli-npm-package-compromised-with-malware/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研