Злоумышленники взломали версию CLI менеджера паролей Bitwarden 2026.4.0 через скомпрометированный GitHub Action и опубликовали вредоносный npm-пакет, который ворует данные криптокошельков и пароли разработчиков.
Компания Socket обнаружила взлом 23 апреля и связала его с продолжающейся supply chain-кампанией TeamPCP. Вредоносная версия npm уже удалена.
Вредоносный код представляет угрозу для криптокошельков и секретов CI/CD
Опасный скрипт, встроенный в файл bw1.js, запускался при установке пакета и собирал токены GitHub и npm, SSH-ключи, переменные окружения, историю команд и облачные ключи доступа.
Кампания TeamPCP также нацелена на кражу данных криптокошельков, включая файлы MetaMask, Phantom и Solana.
По данным JFrog, украденные данные отправлялись на домены, подконтрольные атакующим, а также загружались обратно в GitHub-репозитории — так злоумышленники закрепляли присутствие в системе (механика устойчивости).
Многие криптокоманды используют Bitwarden CLI для автоматического внедрения секретов и деплоя в CI/CD-пайплайнах. Любые процессы, где запускалась вредоносная версия, могли раскрыть приватные ключи кошельков и учетные данные API бирж.
Исследователь безопасности Аднан Хан отметил, что это первый известный случай компрометации пакета, использующего механизм доверенной публикации npm, который был создан для отказа от «долгоиграющих» токенов.
Что делать пользователям, которые могли пострадать
Socket рекомендует всем, кто установил @bitwarden/cli версии 2026.4.0, немедленно сменить все скомпрометированные секреты.
Пользователям стоит перейти на версию 2026.3.0 или воспользоваться официальными подписанными бинарными файлами с сайта Bitwarden.
TeamPCP использовала схожие схемы против Trivy, Checkmarx и LiteLLM с марта 2026 года, нацеливаясь на разработческие инструменты глубоко в системах сборки.
Основное хранилище Bitwarden не пострадало. Под угрозой оказался только процесс сборки CLI-версии (компрометация).
