https://socket.dev/blog/bitwarden-cli-compromised安装了恶意 Bitwarden npm 包的组织应将此事件视为凭证泄露和 CI/CD 入侵事件。
立即从开发人员系统和构建环境中移除受影响的软件包。轮换所有可能已暴露给这些环境的凭据,包括 GitHub 令牌、npm 令牌、云凭据、SSH 密钥和 CI/CD 密钥。检查 GitHub 是否存在未经授权的仓库创建、.github/workflows/ 目录下是否存在意外的工作流文件、是否存在可疑的工作流运行、工件下载以及是否存在符合观察到的 Dune 主题暂存模式({word}-{word}-{3digits})的公共仓库。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/1208185
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.