Hinack ng mga attacker ang password manager na Bitwarden, partikular yung CLI version 2026.4.0, gamit ang na-compromise na GitHub Action. Naglabas sila ng malicious npm package na direktang nagnanakaw ng crypto wallet info at developer credentials.
Napansin ng security firm na Socket ang breach noong April 23 at nagsabi na konektado ito sa tuloy-tuloy na TeamPCP supply chain campaign. Tinanggal na ang rogue na npm version.
Malware Target Nagbabadya ng Peligro sa Crypto Wallets at CI/CD Secrets
Nakatago ang malicious payload sa bw1.js, na automatic na nagra-run kapag ini-install ang package. Nanakaw nito ang mga GitHub at npm token, SSH key, environment variables, shell history, at cloud credentials.
Sinasabing sinadya ding targetin ng mas malaking campaign ng TeamPCP ang crypto wallet data—kasama dito yung mga MetaMask, Phantom, at Solana wallet files.
Ayon sa JFrog, dine-direct ng attackers ang mga nakuhang data sa mga sarili nilang domain, at pina-pasok ulit pabalik sa mga GitHub repository para manatiling tuloy-tuloy ang access bilang paraan ng persistence.
Maraming crypto teams ang gumagamit ng Bitwarden CLI sa kanilang automated CI/CD pipeline para mag-inject ng secrets at mag-deploy ng projects. Kung tumakbo ang workflow gamit ang na-compromise na version, posible nang-expose ang mga matataas ang value na wallet key at exchange API credentials.
Sinabi ng security researcher na si Adnan Khan na ito ang pinakaunang beses na may na-compromise na npm package gamit ang trusted publishing mechanism ng npm, na ginawa talaga para maiwasan ang paggamit ng long-lived tokens.
Ano ang Dapat Gawin ng Mga Naapektuhan
Nagsa-suggest ang Socket na kung sino man ang naka-install ng @bitwarden/cli version 2026.4.0, dapat magrotate kaagad ng lahat ng exposed na secret.
Mas safe kung mag-downgrade muna sa version 2026.3.0 o gumamit ng official na signed binaries galing mismo sa website ng Bitwarden.
Katulad na attack din ang ginawa ng TeamPCP sa Trivy, Checkmarx, at LiteLLM simula pa March 2026, kung saan tinatarget nila yung mga developer tools na ginagamit sa building ng projects.
Walang epekto ang attack sa core vault ng Bitwarden. Yung mismong CLI build process lang ang na-compromise.
