Hyökkääjät kaappasivat Bitwarden-salasanojen hallinnan CLI-version 2026,4,0 hyödyntämällä vaarantunutta GitHub Actionia ja julkaisivat haitallisen npm-paketin, joka varastaa aktiivisesti kryptolompakkojen tietoja ja kehittäjätunnuksia.
Turvayritys Socket havaitsi tietomurron 23. huhtikuuta ja yhdisti sen TeamPCP:n käynnissä olevaan toimitusketjukampanjaan. Haitallinen npm-versio on sittemmin poistettu.
Haittaohjelma uhkaa kryptolompakoita ja CI/CD-järjestelmien salaisuuksia
Haitallinen koodi, joka oli upotettu tiedostoon bw1.js, aktivoitui paketin asennuksen aikana ja keräsi GitHub- ja npm-tunnuksia, SSH-avaimia, ympäristömuuttujia, komentorivihistoriaa sekä pilvitunnuksia.
TeamPCP:n laajempi kampanja kohdistuu erityisesti kryptolompakoiden tietoihin, mukaan lukien MetaMask-, Phantom- ja Solana-lompakotiedostot.
JFrogin mukaan varastetut tiedot siirrettiin hyökkääjien hallinnoimiin domaineihin ja tallennettiin GitHub-repositoreihin pysyvyyden varmistamiseksi.
Monet kryptotiimit hyödyntävät Bitwarden CLI:tä automatisoiduissa CI/CD-putkissa salaisuuksien hallintaan ja käyttöönottoihin. Mikäli työnkulut ajoivat vaarantunutta versiota, ne ovat saattaneet altistaa arvokkaita lompakkoavaimia ja pörssien API-tunnuksia.
Turvatutkija Adnan Khan totesi, että kyseessä on ensimmäinen tunnettu npm:n trusted publishing -mekanismin kautta tapahtunut paketin kompromisointi, vaikka kyseinen mekanismi kehitettiin poistamaan pitkäaikaiset tunnukset käytöstä.
Ohjeet vaikutuksen kohteena olleille käyttäjille
Socket suosittelee, että jokainen @bitwarden/cli version 2026,4,0 asentanut vaihtaa viipymättä kaikki mahdollisesti vuotaneet salaisuudet.
Käyttäjien tulisi palata versioon 2026,3,0 tai siirtyä käyttämään Bitwarden-sivustolta ladattavia virallisia, allekirjoitettuja binäärejä.
TeamPCP on yhdistänyt samanlaisia hyökkäyksiä Trivyyn, Checkmarxiin ja LiteLLM:ään maaliskuusta 2026 lähtien, kohdistuen kehittäjätyökaluihin, jotka ovat syvällä rakennusputkissa.
Bitwarden-pääholvi ei ole vaarantunut. Vain CLI-version rakentamisprosessi on kompromisoitu.
