Bitwarden CLI 2026.4.0 एक सप्लाई चेन अटैक में समझौता किया गया था जो क्रिप्टो वॉलेट कीज़, SSH कीज़, और CI/CD सीक्रेट्स को टार्गेट करता है। The post Bitwarden CLIBitwarden CLI 2026.4.0 एक सप्लाई चेन अटैक में समझौता किया गया था जो क्रिप्टो वॉलेट कीज़, SSH कीज़, और CI/CD सीक्रेट्स को टार्गेट करता है। The post Bitwarden CLI

Bitwarden CLI सप्लाई चेन अटैक से क्रिप्टो वॉलेट कीज़ खतरे में

2026/04/23 22:27
2 मिनट पढ़ें
इस कॉन्टेंट के संबंध में प्रतिक्रिया या चिंताओं के लिए, कृपया [email protected] पर हमसे संपर्क करें

हमलावरों ने पासवर्ड मैनेजर Bitwarden के CLI वर्शन 2026.4.0 को एक कंप्रोमाइज्ड GitHub Action के ज़रिए हैक कर लिया, जिससे एक मैलिशियस npm पैकेज पब्लिश किया गया जो एक्टिवली क्रिप्टो वॉलेट डेटा और डेवलपर क्रेडेंशियल्स चुराता है।

सिक्योरिटी फर्म Socket ने 23 अप्रैल को इस ब्रीच का पता लगाया और इसे TeamPCP के चलते सप्लाई चेन कैंपेन से लिंक किया। रॉग npm वर्शन अब हटा दिया गया है।

मैलवेयर का टार्गेट: क्रिप्टो वॉलेट्स और CI/CD सीक्रेट्स रिस्क पर

मैलिशियस पेलोड, जो bw1.js नाम की फाइल में था, पैकेज इंस्टॉलेशन के दौरान चलता था और GitHub व npm टोकन्स, SSH कीज, एनवायरमेंट वेरिएबल्स, शैल हिस्ट्री, और क्लाउड क्रेडेंशियल्स चुरा लेता था।

TeamPCP के इस बड़े कैंपेन का अलग से ये भी कन्फर्म हुआ है कि यह MetaMask, Phantom और Solana जैसी क्रिप्टो वॉलेट फाइल्स टार्गेट करता है।

JFrog के अनुसार, चोरी हुआ डेटा अटैकर के कंट्रोल वाले डोमेन पर भेजा गया और उसे पर्सिस्टेंस मेकैनिज्म के तौर पर GitHub रिपॉजिटरी में कमिट भी किया गया।

कई क्रिप्टो टीम्स ऑटोमेटेड CI/CD पाइपलाइनों में Bitwarden CLI को सीक्रेट्स इंजेक्शन और डिप्लॉयमेंट के लिए यूज़ करती हैं। जिनभी वर्कफ्लो में ये कंप्रोमाइज्ड वर्शन चला है, वहां हाई-वैल्यू वॉलेट कीज और exchange API क्रेडेंशियल्स एक्सपोज़ हो सकते हैं।

सिक्योरिटी रिसर्चर Adnan Khan के मुताबिक, npm के trusted publishing mechanism का यूज़ करके ये पैकेज पहली बार कंप्रोमाइज हुआ है, जिसे लॉन्ग-लिव्ड टोकन्स हटाने के लिए डिज़ाइन किया गया था।

प्रभावित यूज़र्स क्या करें?

Socket सुझाव देता है कि जिन लोगों ने @bitwarden/cli का 2026.4.0 वर्शन इंस्टॉल किया है, वे तुरंत अपने सभी एक्सपोज़्ड सीक्रेट्स रोटेट करें।

यूजर्स को 2026.3.0 वर्शन पर डाउनग्रेड करना चाहिए या Bitwarden की वेबसाइट से ऑफिसियल साइन किए हुए बाइनरी यूज़ करने चाहिए।

TeamPCP ने मार्च 2026 से Trivy, Checkmarx और LiteLLM जैसी डेवलपर टूल्स को भी टार्गेट करते हुए इसी तरह के अटैक चेन किए हैं, जो बिल्ड पाइपलाइनों में डीप बैठी होती हैं।

Bitwarden का कोर वॉल्ट पूरी तरह सुरक्षित है। सिर्फ CLI बिल्ड प्रोसेस ही कंप्रोमाइज हुआ है।

The post Bitwarden CLI सप्लाई चेन अटैक से क्रिप्टो वॉलेट कीज़ खतरे में appeared first on BeInCrypto Hindi.

मार्केट अवसर
4 लोगो
4 मूल्य(4)
$0.011659
$0.011659$0.011659
+0.29%
USD
4 (4) मूल्य का लाइव चार्ट
अस्वीकरण: इस साइट पर बाहर से पोस्ट किए गए लेख, सार्वजनिक प्लेटफार्म से लिए गए हैं और केवल सूचना देने के उद्देश्यों के लिए उपलब्ध कराए गए हैं. वे निश्चित तौर पर MEXC के विचारों को नहीं दिखाते. सभी संबंधित अधिकार मूल लेखकों के पास ही हैं. अगर आपको लगता है कि कोई कॉन्टेंट तीसरे पक्ष के अधिकारों का उल्लंघन करता है, तो कृपया उसे हटाने के लिए [email protected] से संपर्क करें. MEXC किसी कॉन्टेंट की सटीकता, पूर्णता या समयबद्धता के संबंध में कोई गारंटी नहीं देता है और प्रदान की गई जानकारी के आधार पर की गई किसी भी कार्रवाई के लिए जिम्मेदार नहीं है. यह कॉन्टेंट वित्तीय, कानूनी या अन्य प्रोफ़ेशनल सलाह नहीं है, न ही इसे MEXC द्वारा अनुशंसा या समर्थन माना जाना चाहिए.

आपको यह भी पसंद आ सकता है

Binance Futures द्वारा चुनिंदा USDS-M परपेचुअल कॉन्ट्रैक्ट्स को डीलिस्ट किया जाएगा (28–29 अप्रैल, 2026)

Binance Futures द्वारा चुनिंदा USDS-M परपेचुअल कॉन्ट्रैक्ट्स को डीलिस्ट किया जाएगा (28–29 अप्रैल, 2026)

Binance 28 से 29 अप्रैल, 2026 को छह USDⓈ-M perpetual contracts को delist करेगा, जिसमें अंतिम घंटे में auto settlement और सख्त liquidation शर्तें होंगी।
शेयर करें
Blockchainreporter2026/04/23 23:17
Moog (MOG.A) Q2 आय रिपोर्ट: क्या रिकॉर्ड-तोड़ Q1 के बाद गति जारी रह सकती है?

Moog (MOG.A) Q2 आय रिपोर्ट: क्या रिकॉर्ड-तोड़ Q1 के बाद गति जारी रह सकती है?

Moog (MOG.A) शुक्रवार को Q2 आय रिपोर्ट करेगा। वॉल स्ट्रीट को $2.36 EPS और $1.03B राजस्व की उम्मीद है। स्टॉक साल-दर-साल 84% ऊपर है और $3.3B बैकलॉग विकास दृष्टिकोण का समर्थन कर रहा है। The post
शेयर करें
Blockonomi2026/04/23 23:08
Paris Blockchain Week 2026: नया फाइनेंशियल ऑर्डर यहीं बना

Paris Blockchain Week 2026: नया फाइनेंशियल ऑर्डर यहीं बना

Paris Blockchain Week ने अपनी पहचान एक ऐसे इवेंट के तौर पर बनाई है जहां असली फैसले लिए जाते हैं। यहां प्रेस रिलीज़ के लिए रिहर्स किए गए ऐलान नहीं, बल्कि वे बातच
शेयर करें
Beincrypto HI2026/04/23 22:26

24/7 लाइव न्यूज़

अधिक

USD1 Genesis: 0 Fees + 12% APR

USD1 Genesis: 0 Fees + 12% APRUSD1 Genesis: 0 Fees + 12% APR

New users: stake for up to 600% APR. Limited time!