Зловмисники отримали контроль над CLI-версією менеджера паролів Bitwarden 2026.4.0 через скомпрометований GitHub Action, опублікувавши шкідливий npm-пакет, функціонал якого був спрямований на крадіжку даних криптовалютних гаманців і облікових даних розробників.
Фахівці з безпеки компанії Socket виявили інцидент 23 квітня, пов’язавши його з поточною кампанією supply chain TeamPCP. Небезпечна версія npm вже була видалена.
Вектор шкідливого ПЗ: ризики для криптовалютних гаманців та конфіденційних CI/CD-облікових даних
Шкідливе програмне забезпечення, впроваджене у файл під назвою bw1.js, активувалося під час встановлення пакета. Воно збирало GitHub- і npm-токени, ключі SSH, змінні середовища, історію shell-команд, хмарні облікові дані.
Ширша кампанія TeamPCP окремо підтверджена як спрямована на викрадення криптовалютних даних, зокрема файлів гаманців MetaMask, Phantom і Solana.
Як зазначає JFrog, викрадені дані пересилалися на домени під контролем атакувальників і додатково коммітилися у репозиторії GitHub як механізм стійкості збереження доступу.
Багато команд, що працюють з криптовалютами, використовують Bitwarden CLI для автоматизації видавання ключів у CI/CD-ланцюгах та розгортань. Будь-які робочі процеси, що задіяли скомпрометовану версію, потенційно відкривали дані високої цінності – ключі гаманців і облікові дані API бірж.
Дослідник у сфері кібербезпеки Adnan Khan підкреслив: це перший зафіксований випадок компрометації пакета через npm trusted publishing mechanism (довірений механізм публікації), створений для усунення довгострокових токенів.
Рекомендації для користувачів, яких потенційно торкнулась атака
Компанія Socket радить всім, хто інсталював @bitwarden/cli версії 2026.4.0, негайно здійснити ротацію всіх ймовірно скомпрометованих секретних ключів та облікових даних.
Рекомендується здійснити даунгрейд до версії 2026.3.0 або перейти на офіційні підписані бінарні файли, завантажені з сайту Bitwarden.
З березня 2026 року TeamPCP реалізує подібні атаки на Trivy, Checkmarx, LiteLLM, орієнтуючись на інструменти розробників, що глибоко інтегровані в процеси збірки.
Основна сховище Bitwarden залишилося недоторканим – скомпрометований виключно процес складання CLI.
