Atakujący przejęli wersję CLI menedżera haseł Bitwarden 2026.4.0 przez zainfekowaną akcję GitHub, publikując złośliwy pakiet npm, który aktywnie kradnie dane portfeli kryptowalut i dane uwierzytelniające deweloperów.
Firma bezpieczeństwa Socket wykryła naruszenie 23 kwietnia i powiązała je z trwającą kampanią TeamPCP dotyczącą łańcucha dostaw. Złośliwa wersja npm została już usunięta.
Złośliwe oprogramowanie zagraża portfelom krypto i sekretom CI/CD
Złośliwy ładunek, ukryty w pliku bw1.js, uruchamiał się podczas instalacji pakietu i zbierał tokeny GitHub oraz npm, klucze SSH, zmienne środowiskowe, historię powłoki oraz dane dostępowe do chmury.
Kampania TeamPCP szerzej atakuje także dane z portfeli kryptowalut, w tym pliki MetaMask, Phantom oraz Solana.
Zgodnie z informacjami od JFrog skradzione dane trafiały na domeny kontrolowane przez atakujących, a potem były ponownie wgrywane do repozytoriów GitHub jako mechanizm utrzymania dostępu.
Wiele zespołów krypto używa Bitwarden CLI w zautomatyzowanych pipeline’ach CI/CD do wstrzykiwania sekretów i wdrażania. Każdy workflow korzystający z zainfekowanej wersji mógł narazić na wyciek klucze do wartościowych portfeli oraz dane API giełd.
Badacz bezpieczeństwa Adnan Khan zauważył, że to pierwszy znany przypadek kompromitacji pakietu korzystającego z zaufanego mechanizmu publikacji npm, który miał eliminować konieczność długotrwałego użycia tokenów.
Co powinni zrobić poszkodowani użytkownicy
Socket zaleca, aby każdy kto zainstalował @bitwarden/cli w wersji 2026.4.0 natychmiast wymienił wszystkie narażone sekrety.
Użytkownicy powinni cofnąć się do wersji 2026.3.0 lub używać oficjalnych podpisanych plików binarnych pobranych ze strony Bitwarden.
TeamPCP od marca 2026 r. przeprowadził podobne ataki na Trivy, Checkmarx oraz LiteLLM, celując w narzędzia deweloperskie używane głęboko w pipeline’ach budowania oprogramowania.
Główny sejf Bitwarden pozostaje nienaruszony. Kompromitacja dotyczyła wyłącznie procesu budowy wersji CLI.
