Hackare tog över lösenordshanteraren Bitwardens CLI-version 2026.4.0 genom en komprometterad GitHub Action och publicerade ett skadligt npm-paket som stjäl data från kryptoplånböcker och utvecklarnycklar.
Säkerhetsföretaget Socket upptäckte intrånget den 23 april och kopplade det till den pågående TeamPCP-kampanjen mot leverantörskedjan. Den skadliga npm-versionen är nu borttagen.
Skadlig kod hotar kryptoplånböcker och CI/CD-hemligheter
Den skadliga koden fanns i filen bw1.js och kördes vid installation av paketet. Den tog GitHub- och npm-token, SSH-nycklar, miljövariabler, shellhistorik och molnuppgifter.
TeamPCP:s större kampanj siktar också på kryptoplånboksdata, till exempel MetaMask, Phantom och Solana plånboksfiler.
Enligt JFrog skickades den stulna datan till domäner som angriparna äger och återinfördes i GitHub-arkiv för att behålla åtkomst, se här.
Många kryptoteam använder Bitwarden CLI i automatiska CI/CD-flöden för att hantera hemligheter och driftsättningar. Alla arbetsflöden som körde den komprometterade versionen kunde därför ha exponerat viktiga plånboksnycklar och API-uppgifter till växlingar.
Säkerhetsforskaren Adnan Khan säger att detta är första gången ett paket påverkas genom npms betrodda publiceringsmetod, som är tänkt att ta bort långlivade token.
Det här bör drabbade användare göra
Socket rekommenderar att alla som installerat @bitwarden/cli version 2026.4.0 genast byter ut alla exponerade hemligheter.
Användare bör nedgradera till version 2026.3.0 eller använda officiella signerade filer från Bitwardens webbplats.
Sedan mars 2026 har TeamPCP genomfört liknande attacker mot Trivy, Checkmarx och LiteLLM. De har siktat på utvecklarverktyg djupt inne i byggkedjan.
Bitwardens huvudvalv är inte påverkat. Endast CLI:s byggprocess har komprometterats.
