Angribere overtog password-manageren Bitwardens CLI-version 2026.4.0 gennem en kompromitteret GitHub Action og udgav en skadelig npm-pakke, der aktivt stjal crypto wallet-data samt udvikleroplysninger.
Sikkerhedsfirmaet Socket opdagede bruddet den 23. april og kædede det sammen med den igangværende TeamPCP supply chain-kampagne. Den skadelige npm-version er siden blevet fjernet.
Malware truer crypto wallets og CI/CD-hemmeligheder
Den skadelige kode, indlejret i filen bw1.js, kørte under installationen af pakken og indsamlede GitHub- og npm-tokens, SSH-nøgler, miljøvariabler, shellhistorik samt cloud-oplysninger.
TeamPCP’s større kampagne er desuden bekræftet at rette sig mod crypto wallet-data, inklusiv MetaMask, Phantom og Solana wallet-filer.
Ifølge JFrog blev de stjålne oplysninger sendt til domæner, som angribere havde kontrol over, og lagt tilbage i GitHub-repositorier som en vedvarende mekanisme.
Mange crypto-teams bruger Bitwarden CLI i automatiserede CI/CD-pipelines til hemmelighedsindsprøjtning og deployering. Alle workflows, der kørte den kompromitterede version, kan have afsløret værdifulde wallet-nøgler og API-oplysninger til børser.
Sikkerhedsforsker Adnan Khan bemærkede, at det er første gang, en pakke kompromitteres via npms trusted publishing-mekanisme, som skulle forhindre tokens i at være aktive for længe.
Hvad ramte brugere bør gøre
Socket anbefaler, at alle, der har installeret @bitwarden/cli version 2026.4.0, straks udskifter alle eksponerede hemmeligheder.
Brugere bør nedgradere til version 2026.3.0 eller benytte officielle signerede binærfiler fra Bitwardens hjemmeside.
Siden marts 2026 har TeamPCP gennemført lignende angreb mod Trivy, Checkmarx og LiteLLM, hvor de har rettet sig mod udviklerværktøjer, der spiller en central rolle i byggeprocessen.
Kernen i Bitwardens vault er ikke påvirket. Det var kun CLI-byggeprocessen, der blev kompromitteret.
