تنبيه بخصوص سلسلة التوريد (Supply Chain): اختراق Bitwarden CLI فـ حملة "Checkmarx" كبـيرة
Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain Campaign
تنبيه بخصوص سلسلة التوريد (Supply Chain): اختراق Bitwarden CLI فـ حملة "Checkmarx" كبـيرة
خلاصة الموضوع (TL;DR): تعرضات النسخة 2026.4.0 ديال Bitwarden CLI لاختراق قصير المدى بسباب ثغرة فـ CI/CD pipeline. هاد الـ package المسموم، اللي بقى خدام لمدة 90 دقيقة تقريبا نهار 22 أبريل 2026، كان الهدف ديالو هو سرقة أسرار المطورين (developer secrets)، وبيانات السحاب (cloud credentials)، وإعدادات أدوات الذكاء الاصطناعي. Bitwarden كتاكد باللي البيانات ديال الخزنة (vault data) بقات آمنة.
واحد الهجوم متطور على سلسلة التوريد ضرب Bitwarden CLI، وهادشي كيمثل تصعيد خطير فـ الحملات اللي كتستهدف الأنظمة ديال المطورين. على حساب تقارير من شركات الأمن JFrog و Socket و OX Security، هاد الاختراق كان جزء من حملة كبـيرة كتهدف حالياً لـ repositories اللي كتخدم بـ GitHub Actions مخترقة.
الاختراق: كيفاش طرا هادشي؟
الهجوم استهدف التوزيع الرسمي ديال Bitwarden CLI على npm. الباحثين حددوا النسخة المتضررة فـ @bitwarden/cli@2026.4.0.
الاختراق بدا من GitHub Action داخل الـ CI/CD pipeline ديال Bitwarden. بالضبط، الـ repository ديال Bitwarden كان كيخدم بـ checkmarx/ast-github-action؛ هاد الأداة كانت ديجا مخترقة فـ حادثة أوسع ديال سلسلة التوريد معروفة بـ "Checkmarx campaign".
الباحث الأمني Adnan Khan لاحظ باللي هاد الحادثة غالباً هي أول مرة كيتم فيها اختراق package كيستخدم خاصية NPM Trusted Publishing — وهي ميزة أمنية مصممة باش تمنع سرقة بيانات الاعتماد يدوياً — وهادشي طرا عن طريق workflow مسموم (poisoned workflow).
التحليل التقني ديال البرمجية الخبيثة (Malware)
الكود المسموم كان مخبي فـ واحد الملف سميتو bw1.js وكيتفعل أوتوماتيكياً عن طريق preinstall hook. بمجرد ما كيخدم، الـ payload كيبدا يجمع ويسرق البيانات الحساسة (credential harvester).
شنو تسرق؟
الـ malware كان مبرمج باش يخرج ويشفر بزاف ديال البيانات الحساسة، منها:
- بيانات المطورين: GitHub و npm tokens، مفاتيح
.sshوملفات.env. - معلومات النظام: تاريخ الـ Shell (Shell history) والأسرار ديال البيئة (environment secrets).
- أسرار السحاب (Cloud Secrets): بيانات الدخول لمختلف خدمات الحوسبة السحابية.
- مساعدي البرمجة بالذكاء الاصطناعي: إعدادات ديال أدوات بحال Claude و Kiro و Cursor و Codex CLI و Aider.
تكتيكات تسريب البيانات (Exfiltration)
البيانات اللي تسرقات تشفرات بـ AES-256-GCM. وباش يتفادوا المراقبة، الهاكرز خدموا بـ جوج طرق باش يخرجوا البيانات:
- Impersonation Domains: البيانات رسلوها لـ
audit.checkmarx[.]cx؛ هو واحد الـ domain مصمم باش يبان بحال بنية تحتية أمنية قانونية. - GitHub Dead-Drops: كحل احتياطي، البيانات المسروقة كانت كترفع لـ public GitHub repositories تصاوبوا بحسابات الضحايا. هاد الـ repositories كانت غالباً مسمية بطرقة معينة (مثلاً:
<word>-<word>-<3 digits>).
التأثير والإصلاح
Bitwarden تفاعلات مع الحادثة، ووضحات باللي الوقت اللي كان فيه الخطر كان محدود فـ 22 أبريل 2026، ما بين 5:57 مساءً و 7:30 مساءً (توقيت شرق أمريكا).
فـ بيان رسمي، Bitwarden أكدات على:
- بيانات الخزنة آمنة: ما كاين حتى دليل باللي بيانات الـ vault ديال المستخدمين أو أنظمة الإنتاج تضربات.
- السيطرة: النسخة المسمومة ديال npm تم السحب ديالها، والـ access tokens اللي تسرقوا تم الإلغاء ديالهم.
- النطاق: المشكل كان محصور غير فـ طريقة التوزيع عبر npm وما أثرش على الكود الأصلي (core codebase) ديال Bitwarden.
المسؤول عن الهجوم: "Shai-Hulud" و TeamPCP
الأدلة كتشير باللي واحد الهاكر كيتسمى TeamPCP يقدر يكون هو اللي مورا هاد الهجوم. الباحثين فـ OX Security لقاو جملة "Shai-Hulud: The Third Coming" داخل الـ package، وهي إشارة لعالم رواية Dune واستمرار لحملة بدات العام اللي فات.
المثير للاهتمام هو أن الـ malware فيه واحد الـ "kill-switch" كيحبس الخدمة ديالو إلا كان الـ locale ديال النظام مضبوط على روسيا، هادشي كيوحي بوجود دوافع جيوسياسية أو محاولة لتفادي المشاكل مع السلطات المحلية تما.
خلاصة: تنبيه للمطورين
هاد الحادثة ديال Bitwarden CLI كتبيّن مدى هشاشة الـ CI/CD pipelines. حتى مع وسائل الأمان الحديثة بحال Trusted Publishing، غلط واحد فـ GitHub Action ديال طرف ثالث (third-party) يقدر يحول package موثوق لسلاح.
كنصحوا الفرق الأمنية باش يتأكدوا واش @bitwarden/cli@2026.4.0 تانستالا فـ الأجهزة ديالهم فهاديك 90 دقيقة ديال نهار 22 أبريل. إذا كان هادشي وقع، ضروري تغيروا جميع الأسرار (GitHub tokens, SSH keys, Cloud credentials) فوراً، حيت الـ malware مصمم باش ينشر راسو باستخدام الـ tokens المسروقة باش يسبق ويعدي repositories أخرى كيوصل ليها المطور.
المصدر: https://thehackernews.com/2026/04/bitwarden-cli-compromised-in-ongoing.html