أعلنت شركة Bitwarden وقوع حادثة أمنية استهدفت أداة الواجهة البرمجية Bitwarden CLI، إثر توزيع حزمة برمجية خبيثة عبر منصة npm. شمل هذا الاختراق الإصدار رقم 2026.4.0، حيث استمر توزيع الحزمة خلال نافذة زمنية محددة يوم 22 أبريل 2026، بدأت من الساعة 5:57 مساء وحتى الساعة 7:30 مساء بتوقيت الساحل الشرقي الأمريكي. وفور اكتشاف الخلل، بادرت الشركة بسحب الإصدار المتأثر من المنصة وتعطيل صلاحيات الوصول المرتبطة به، مع مباشرة تنفيذ بروتوكولات الاستجابة والمعالجة التقنية.
وكشفت التحقيقات الأولية عن انحصار نطاق التأثر في النسخة المنشورة عبر npm خلال الساعات المذكورة فقط، مؤكدة سلامة قاعدة الشيفرة الأصلية وأنظمة الإنتاج وبيانات خزائن المستخدمين من أي اختراق.
كما شددت الشركة على عدم وجود أدلة تشير إلى وصول غير مصرح به للبيانات المشفرة، معتبرة أن المستخدمين الذين لم يقوموا بتثبيت الحزمة خلال تلك الفترة في مأمن من التداعيات. وتصنف هذه الحادثة ضمن هجمات سلسلة الإمداد التي تهدف لاختراق المكونات البرمجية الوسيطة للوصول إلى بيئات العمل النهائية.
تفاصيل الحمولة الخبيثة وآليات استهداف بيئات التطوير
كشفت التحليلات الأمنية التي أجرتها شركتا Socket وJFrog أن الحزمة الخبيثة ظهرت كنسخة منتحلة لعميل Bitwarden CLI الرسمي. وقد أظهر تحليل JFrog أن الحزمة تعمل على إعادة توجيه عمليات التثبيت المسبق ونقطة تنفيذ الأمر (bw) إلى ملف مخصص يحمل اسم (bw_setup.js).
وفي سياق متصل، حدد تحليل Socket وجود الشيفرة الخبيثة داخل ملف (bw1.js)، مع رصد مؤشرات قوية على استغلال أدوات GitHub Action لأتمتة سير العمل ضمن خطوط التكامل المستمر والتسليم المستمر الخاصة بالمشروع؛ وهو أسلوب تقني يتقاطع مع هجمات واسعة استهدفت مؤخراً مشاريع مفتوحة المصدر لتقويض موثوقية البرمجيات.
صمم المهاجمون الحمولة الخبيثة بتركيز عالي الدقة لجمع بيانات الاعتماد التقنية من بيئات المطورين وأنظمة البناء المؤتمتة، حيث سعت الشيفرة للاستيلاء على رموز GitHub وnpm، ومفاتيح SSH، وملفات الإعداد البيئي، بالإضافة إلى بيانات اعتماد الخدمات السحابية مثل AWS وGCP وAzure. كما شملت قائمة الأهداف بيانات اعتماد GitHub Actions وملفات إعداد أدوات الذكاء الاصطناعي ووكلاء بروتوكول سياق النموذج (MCP).
ولضمان تسريب البيانات، اعتمد المهاجمون على خادم (audit checkmarx cx) كقناة أساسية، مع توفير مسار بديل عبر GitHub يتيح إنشاء مستودعات سرية في حسابات الضحايا لرفع البيانات المشفرة إليها.
استدامة الاختراق وإجراءات المعالجة الموصى بها
أظهر سلوك البرمجية بعد عملية التثبيت مستوى متقدماً من التعقيد التقني؛ إذ فحصت التنفيذات غير المصرح بها داخل GitHub Actions وراجعت بيانات الاعتماد المخزنة بعناية، كما بحثت عن ملفات حساسة مثل npmrc وgit credentials وenv، ورصدت استخدام أدوات حديثة مثل بيئة تشغيل Bun في سياقات غير معتادة. وشملت العمليات التخريبية إجراء تعديلات على ملفات bashrc وzshrc لضمان استمرارية الوجود داخل النظام، مع استخدام ملف قفل في المسار المؤقت (tmp) لمنع تكرار تنفيذ العمليات وتفادي كشف النشاط المريب.
وفي سياق الإجراءات التصحيحية، أشارت النقاشات التقنية في مجتمع Bitwarden إلى أن الإصدار الرسمي المستقر قبل الحادثة كان 2026.3.0، وقد أصدرت الشركة لاحقاً النسخة 2026.4.1 كإصدار آمن ومعتمد.
وتنصح الشركة المستخدمين المتأثرين بإزالة الحزمة فوراً وتنظيف ذاكرة npm المؤقتة، مع ضرورة تدوير كافة بيانات الاعتماد والمفاتيح البرمجية التي يحتمل تعرضها للاختراق. ومع تقديرات تشير إلى وقوع مئات عمليات التنزيل قبل سحب الحزمة، تتعامل الفرق الأمنية مع الموقف كاختراق محتمل لبيئات CI/CD بالكامل، بينما تواصل Bitwarden مراجعة أنظمة النشر الداخلية وتعمل على إصدار معرف ثغرة (CVE) رسمي لتوثيق الحادثة وتعزيز حماية مسارات النشر مستقبلاً.
