Alcuni hacker hanno dirottato la versione 2026.4.0 della CLI del gestore di password Bitwarden tramite una GitHub Action compromessa, pubblicando un pacchetto npm dannoso che ruba attivamente i dati dei portafogli di criptovalute e le credenziali degli sviluppatori.
L'azienda di sicurezza Socket ha scoperto la violazione il 23 aprile e l'ha collegata alla campagna in corso contro la catena di fornitura di TeamPCP. La versione dannosa di npm è stata successivamente rimossa.
Rischi legati al malware per i portafogli di criptovalute e i segreti CI/CD
Il payload dannoso, incorporato in un file chiamato bw1.js, veniva eseguito durante l'installazione del pacchetto e raccoglieva token di GitHub e npm, chiavi SSH, variabili d'ambiente, cronologia della shell e credenziali cloud.
È stato confermato separatamente che la più ampia campagna di TeamPCP prende di mira i dati dei portafogli di criptovalute, inclusi i file dei portafogli MetaMask, Phantom e Solana.
Secondo JFrog , i dati rubati sono stati esfiltrati verso domini controllati dagli aggressori e successivamente caricati su repository GitHub come meccanismo di persistenza.
Molti team che operano nel settore delle criptovalute utilizzano la CLI di Bitwarden nelle pipeline CI/CD automatizzate per l'iniezione di segreti e le distribuzioni. Qualsiasi flusso di lavoro che abbia eseguito la versione compromessa potrebbe aver esposto chiavi di portafoglio di alto valore e credenziali API degli exchange .
Il ricercatore di sicurezza Adnan Khan ha osservato che si tratta della prima violazione nota di un pacchetto che utilizza il meccanismo di pubblicazione affidabile di npm, progettato per eliminare i token di lunga durata.
Cosa devono fare gli utenti interessati
Socket raccomanda a chiunque abbia installato @bitwarden/cli versione 2026.4.0 di ruotare immediatamente tutti i segreti esposti.
Gli utenti dovrebbero effettuare il downgrade alla versione 2026.3.0 oppure passare ai binari ufficiali firmati scaricabili dal sito web di Bitwarden.
Dal marzo 2026, TeamPCP ha sferrato attacchi simili contro Trivy, Checkmarx e LiteLLM, prendendo di mira strumenti per sviluppatori integrati nelle pipeline di compilazione.
Il vault principale di Bitwarden non è stato interessato. Solo il processo di compilazione della CLI è stato compromesso .
L'articolo "Attacco alla catena di fornitura della CLI di Bitwarden mette a rischio le chiavi dei portafogli di criptovalute" è apparso per la prima volta su BeInCrypto .