Злоумышленники взломали CLI-версию Bitwarden 2026.4.0 через скомпрометированный GitHub Action, опубликовав вредоносный npm-пакет, который крадет данные криптокошельков и учетные данные разработчиков.
Эксперты по кибербезопасности из Socket обнаружили взлом 23 апреля и связали его с продолжающейся кампанией TeamPCP, нацеленной на атаки через цепочку поставок ПО. Вредоносную версию npm уже удалили из каталога.
Малварь собирает данные криптовалютных кошельков и секреты из CI/CD
Вредоносный код был внедрен в файл bw1.js – его запуск происходил во время установки пакета. Скрипт собирал токены GitHub и npm, SSH-ключи, переменные окружения, историю командной строки и данные для доступа к облачным сервисам.
Известно, что атаки TeamPCP нацелены и на криптокошельки — в том числе на файлы MetaMask, Phantom и Solana.
По данным JFrog, украденная информация передавалась на домены, которые контролируют злоумышленники, а еще злоумышленники коммитили ее обратно в репозитории GitHub — для закрепления в системе.
Многие крипто-команды применяют Bitwarden CLI в автоматизированных CI/CD пайплайнах для подгрузки секретов и развертывания проектов. При использовании скомпрометированной версии могли утечь ценные приватные ключи и API-ключи от бирж.
Исследователь безопасности Аднан Хан отметил — это первый известный взлом пакета через механизм доверенной публикации npm, который должен был полностью избавить проекты от использования долго живущих токенов.
Что делать пользователям, которых затронула атака
В Socket рекомендуют всем, кто установил @bitwarden/cli версии 2026.4.0, немедленно изменить все скомпрометированные секреты.
Безопаснее всего откатиться на версию 2026.3.0 или перейти на официальные подписанные бинарные файлы с сайта Bitwarden.
TeamPCP с марта 2026 года проводит аналогичные атаки на инструменты для разработчиков – Trivy, Checkmarx и LiteLLM, которые интегрированы глубоко в процессы сборки проектов.
Основное хранилище Bitwarden не пострадало — атака затронула только процесс сборки CLI-версии.









