بیت‌واردن CLI تحت حمله زنجیره تأمین قرار گرفت، با یک بسته مخرب که به مدت حدود ۱.۵ ساعت در حال گردش بود

مدیر امنیت SlowMist 23pds فاش کرد که ابزار مدیریت رمز عبور بیت‌واردن CLI نسخه ۲۰۲۶.۴.۰ بین ساعت ۱۷:۵۷ تا ۱۹:۳۰ به وقت شرقی تحت حمله زنجیره تأمین چکمارکس قرار گرفت. حمله‌کننده به‌طور مختصر یک بسته مخرب را از طریق npm با سوءاستفاده از عمل GitHub در خط لوله CI/CD بیت‌واردن توزیع کرد.

تأییدیه رسمی بیان می‌کند که داده‌های Vault نشت نکرده و سیستم‌های تولید تحت تأثیر قرار نگرفته‌اند؛ تنها کاربرانی که این نسخه را در آن بازه زمانی از طریق npm نصب کرده بودند، تحت تأثیر قرار گرفتند. توصیه رسمی برای کاربران تحت تأثیر این است که بلافاصله نسخه ۲۰۲۶.۴.۰ را حذف کنند، کش npm را پاک کنند، اعتبارنامه‌های حساس مانند توکن‌های API و کلیدهای SSH را تغییر دهند، هرگونه فعالیت غیرعادی در GitHub و CI را بررسی کنند و به نسخه اصلاح‌شده ۲۰۲۶.۴.۱ ارتقا یابند.