O pacote npm do Bitwarden CLI foi envenenado na cadeia de suprimentos, roubando chaves e carregando-as em um repositório público do GitHub

ME News Notícias, 23 de abril (UTC+8), de acordo com a monitorização do Beating, a ferramenta de gestão de senhas Bitwarden, versão @bitwarden/cli 2026.4.0, foi comprometida com código malicioso. Os atacantes invadiram uma ação do GitHub no pipeline de CI/CD do Bitwarden, e publicaram no npm uma versão contendo o arquivo malicioso bw1.js. Essa versão foi baixada mais de 250 mil vezes, com uma janela de impacto de aproximadamente 93 minutos (de 22 de abril, ET, 17:57 a 19:30). O código malicioso roubou tokens do GitHub/npm, diretórios .ssh, arquivos .env, histórico de shell, chaves de ações do GitHub e credenciais de serviços em nuvem, criptografou-os e enviou para um repositório público no GitHub. A OX Security observou vazamento de informações de usuários reais. O pesquisador de segurança Adnan Khan afirmou que esta pode ser a primeira invasão por meio do mecanismo de publicação confiável do npm (trusted publishing, que permite que pipelines de CI/CD publiquem pacotes sem intervenção manual). Este ataque faz parte de uma atividade de ataque à cadeia de suprimentos do Checkmarx. Na análise do pacote, a OX Security encontrou a string embutida “Shai-Hulud: The Third Coming”, indicando que se trata da terceira onda do ataque do verme Shai-Hulud, exposto no ano passado. Os atacantes suspeitos são do TeamPCP, cuja conta no X foi banida. O código malicioso não executa quando a configuração do host está em russo. A Bitwarden confirmou o incidente, afirmando que os dados do cofre de senhas dos usuários não foram acessados, que a versão maliciosa foi removida do npm e que estão sendo emitidas CVEs relacionadas. Recomenda-se que os usuários afetados façam downgrade para a versão 2026.3.0 e rotacionem todas as chaves potencialmente expostas. (Fonte: BlockBeats)