93分間、Bitwardenの「公式」CLIをインストールしたノートPCがGitHubアカウント乗っ取りの踏み台に
概要
4月22日、Bitwardenのコマンドラインインターフェース(CLI)の悪意あるバージョンが、npmの公式パッケージとして93分間にわたり配信されました。セキュリティ企業JFrogの調査によると、このマルウェアはBitwardenのパスワード保管庫そのものではなく、開発環境に保存されたGitHubトークンやAWS/GCPアクセスキー、SSH鍵などの重要情報を標的としていました。Bitwardenは、この事案がGitHub Actionsを悪用した一連のサプライチェーン攻撃の一環であることを認めており、「公式」とされるパッケージであっても、背後のリリースワークフローが侵害されれば極めて高いリスクが生じることを浮き彫りにしました。
(出典:CryptoSlate)