CLI de Bitwarden se ha visto comprometido como parte de la campaña de cadena de suministro Checkmarx recientemente descubierta y en curso, según nuevos hallazgos de JFrog y Socket.
«La versión del paquete afectado parece ser @bitwarden/cli@2026.4.0y el código malicioso se publicó en 'bw1.js', un archivo incluido en el contenido del paquete», dijo la empresa de seguridad de aplicaciones. dicho.
«El ataque parece haber aprovechado una GitHub Action comprometida en el proceso de CI/CD de Bitwarden, consistente con el patrón observado en otros repositorios afectados en esta campaña».
En una publicación en X, JFrog dicho la versión fraudulenta del paquete «roba tokens de GitHub/npm, .ssh, .env, historial de shell, acciones de GitHub y secretos de la nube, luego filtra los datos a dominios privados y a medida que GitHub se compromete».
Si bien la versión maliciosa ya no está disponible para descargar desde npm, Socket dijo que el compromiso sigue el mismo vector de cadena de suministro de GitHub Actions identificado en la campaña Checkmarx.
Como parte del esfuerzo, se descubrió que los actores de amenazas abusan de tokens de GitHub robados para inyectar un nuevo flujo de trabajo de GitHub Actions que captura secretos disponibles para la ejecución del flujo de trabajo y utiliza credenciales npm recopiladas para enviar versiones maliciosas del paquete para leer el malware a los usuarios posteriores.
Según el investigador de seguridad Adnan Khan, se dice que el actor de amenazas utilizó un flujo de trabajo malicioso para publicar la CLI maliciosa de bitwarden. «Creo que esta es la primera vez que un paquete que utiliza la publicación confiable de NPM se ve comprometido», Khan agregado.
 |
| Cadena de ataque CLI de Bitwarden | Fuente: Seguridad OX |
Se sospecha que el actor de amenazas conocido como TeamPCP está detrás del último ataque dirigido a Checkmarx. Al momento de escribir este artículo, TeamPCP La cuenta X ha sido suspendida. por violar las reglas de la plataforma.
OX Security, en un desglose del ataque, dicho identificó la cadena «Shai-Hulud: The Third Coming» en el paquete, lo que sugiere que esta es probablemente la siguiente fase de la campaña de ataque a la cadena de suministro que salió a la luz el año pasado.
 |
| Referencia al «Shai-Hulud: La Tercera Venida» |
«El último incidente de Shai Hulud es sólo el último de una larga cadena de amenazas dirigidas a desarrolladores de todo el mundo. Los datos de los usuarios se están filtrando públicamente a GitHub, a menudo pasando desapercibidos porque las herramientas de seguridad normalmente no señalan los datos que se envían allí», dijo Moshe Siman Tov Bustan, líder del equipo de investigación de seguridad de OX Security.
«Esto hace que el riesgo sea significativamente más peligroso: cualquiera que busque en GitHub puede potencialmente encontrar y acceder a esas credenciales. En ese punto, los datos confidenciales ya no están en manos de un solo actor de amenazas, sino que están expuestos a cualquiera».
Cuando se le contactó para hacer comentarios, Bitwarden confirmó el incidente, pero enfatizó que no se accedió a datos del usuario final como parte del ataque. La declaración completa se reproduce textualmente a continuación:
El equipo de seguridad de Bitwarden identificó y contuvo un paquete malicioso que se distribuyó brevemente a través de la ruta de entrega npm para @bitwarden/cli@2026.4.0 entre las 5:57 p.m. y las 7:30 p.m. (ET) el 22 de abril de 2026, en relación con un incidente más amplio en la cadena de suministro de Checkmarx.
La investigación no encontró evidencia de que se hubiera accedido a los datos de la bóveda del usuario final o que estuvieran en riesgo, o que los datos o sistemas de producción estuvieran comprometidos. Una vez que se detectó el problema, se revocó el acceso comprometido, la versión maliciosa de npm quedó obsoleta y se iniciaron medidas de reparación de inmediato.
El problema afectó el mecanismo de distribución de npm para la CLI durante esa ventana limitada, no la integridad del código base legítimo de la CLI de Bitwarden ni los datos almacenados de la bóveda.
Los usuarios que no descargaron el paquete de npm durante esa ventana no se vieron afectados. Bitwarden ha completado una revisión de los entornos internos, las rutas de lanzamiento y los sistemas relacionados, y no se han identificado productos o entornos afectados adicionales en este momento. Se está emitiendo un CVE para Bitwarden CLI versión 2026.4.0 en relación con este incidente.
(Esta es una historia en desarrollo. Consulte para obtener más detalles).
