#news У Bitwarden CLI 22 апреля скомпрометировали пакет на npm под доставку инфостилера — конечно же, в атаке на цепочку поставок. При виде таких воодушевляющих новостей в ИБ-чатики полетели “it’s over” и “gg”. Но по сути отделались испугом.
Затронут был только механизм доставки пакета, только на npm, и только у CLI. И время реакции — моё почтение: пара часов от компрометации до митигации. Bitwarden сообщает, что данные в хранилищах юзеров затронуты не были, прод у них тоже не пострадал, а вредоносный пакет успели скачать всего 334 счастливчика. По итогам у нас очередная халтурная supply chain attack — шумная, мгновенно обнаруженная и закрытая. Но после легендарных успехов LastPass на ниве защиты пользовательских данных любые шевеления в районе менеджера паролей немедленно вызывают тряску у всех причастных. В этот раз более-менее обошлось, можно расслабиться.
