Atacantes secuestraron la versión CLI 2026.4.0 del gestor de contraseñas Bitwarden a través de una GitHub Action comprometida, publicando un paquete npm malicioso que roba datos de wallets de criptomonedas y credenciales de desarrolladores.
La empresa de seguridad Socket descubrió la brecha el 23 de abril y la relacionó con la campaña de cadena de suministro TeamPCP que sigue activa. La versión maliciosa de npm ya fue retirada.
El malware apunta a wallets de criptomonedas y secretos CI/CD: ¿Qué deben hacer los usuarios afectados?
La carga maliciosa, insertada en un archivo llamado bw1.js, se ejecutaba durante la instalación del paquete y buscaba archivos de wallets de criptomonedas, claves privadas, frases semilla y datos de extensiones de navegador de monederos como MetaMask. También robaba tokens de GitHub y npm, claves SSH, variables de entorno y credenciales en la nube.
Según JFrog, los datos robados se enviaban a dominios controlados por atacantes y también se subían de nuevo a repositorios de GitHub como un mecanismo de persistencia.
Muchos equipos de criptomonedas usan Bitwarden CLI en procesos automáticos de CI/CD para inyectar secretos y hacer despliegues. Cualquier flujo de trabajo que haya utilizado la versión comprometida pudo haber expuesto claves de wallets valiosas y credenciales API de exchanges.
El investigador de seguridad Adnan Khan señaló que este es el primer caso conocido de compromiso de un paquete que utiliza el mecanismo de publicación confiable de npm, el cual fue creado para eliminar los tokens de larga duración.
Socket recomienda que toda persona que haya instalado @bitwarden/cli versión 2026.4.0 cambie inmediatamente cada secreto expuesto. Los usuarios deben regresar a la versión 2026.3.0 o usar los binarios oficiales firmados desde el sitio web de Bitwarden.
TeamPCP ha realizado ataques similares contra Trivy, Checkmarx y LiteLLM desde marzo del 2026, apuntando a herramientas de desarrollo que se encuentran profundamente integradas en los procesos de construcción. El núcleo de la bóveda de Bitwarden no se ve afectado. Solo el proceso de construcción de la CLI fue comprometido.
