Bitwarden CLI 遭供應鏈攻擊事件解析

事件概述

密碼管理軟體開發公司 Bitwarden 於 2026 年 4 月 23 日遭遇一起嚴重的軟體供應鏈攻擊。攻擊者透過 NPM 套件發布惡意版本的 Bitwarden CLI，導致開發者憑證與雲端權杖被竊取。此事件由資安公司 Socket、JFrog、StepSecurity、OX Security 以及獨立研究員 Adnan Khan 共同揭露，並得到 Bitwarden 證實。

攻擊手法與技術細節

駭客利用 NPM 與 Docker 套件植入惡意程式，將含有竊取憑證有效載荷（payload）的惡意套件上傳至 NPM。該惡意載荷能夠擴散到其他項目，並提取 SSH 金鑰、雲端憑證（如 AWS、GCP）及雲端配置。攻擊者甚至滲透工程師的 GitHub 帳號，透過 GitHub Actions 發布惡意套件，顯示其具備高度技術能力。

駭客身分與組織

關於攻擊者身分，不同機構提出不同看法：

• OX Security認為，基於駭客在惡意套件中嵌入第三波 Shai-Hulud 攻擊字串，攻擊者來自俄羅斯組織 Shai-Hulud。
• 網路資訊雜誌與部分分析指出，此攻擊疑與 TeamPCP 組織有關。
• 攻擊者代號「Shai-Hulud」，其 repo 命名充滿沙丘（Dune）梗（如 atreides、fremen、sandworm），commit 訊息寫著「LongLiveTheResistanceAgainstMachines」，顯示其具有特定文化背景與中二風格。

影響與後續

此次攻擊導致開發者憑證被竊取，可能影響多個依賴 Bitwarden CLI 的專案。目前相關漏洞已修復，但此事件凸顯軟體供應鏈安全的重要性，提醒開發者需謹慎審查第三方套件來源。