En milieu de semaine, l’interface en ligne de commande (CLI) du célèbre gestionnaire de mots de passe Bitwarden a été brièvement compromise, à la suite d’une attaque sur la chaîne d’approvisionnement ciblant le canal de distribution npm. Estampillée 2026.4.0, une version malveillante de Bitwarden CLI a ainsi été distribuée via NPM.
Comment l’attaque s’est-elle déroulée ?
Selon les analyses de plusieurs sociétés de cybersécurité, les attaquants ont réussi à infiltrer le pipeline CI/CD de Bitwarden. Ils ont exploité et piégé une GitHub Action pour injecter du code malveillant directement dans le processus de publication du paquet npm.
Une fois le paquet malveillant installé, un script dissimulé se déclenchait. Ce script, nommé bw_setup.js, lançait à son tour un fichier JavaScript obfusqué, bw1.js, qui constituait la charge utile principale du malware.
Le but de ce dernier était de dérober des identifiants à grande échelle sur le système de la victime.
Quelle était la nature des données à voler ?
Le malware était conçu pour scanner et collecter un éventail de données sensibles. La liste comprend les tokens d’authentification npm et GitHub, les clés SSH, ainsi que les identifiants d’accès à des services cloud comme AWS, Azure et Google Cloud. Le malware ciblait également les fichiers de configuration d’outils d’IA pour le codage.
Les données collectées étaient ensuite chiffrées, avant d’être exfiltrées via GitHub. Pour ce faire, le malware créait des dépôts publics sur le compte de la victime, y stockant les données chiffrées.
Ces dépôts contenaient la chaîne de caractères » Shai-Hulud: The Third Coming « , une signature déjà observée dans de précédentes attaques de chaîne d’approvisionnement et une référence claire à l’univers de Dune.
Encore le groupe TeamPCP…
Bitwarden a confirmé que cet incident était directement lié à la campagne plus large visant l’écosystème Checkmarx. L’infrastructure et les techniques utilisées pointent vers le groupe d’attaquants connu sous le nom de TeamPCP.
Bitwarden souligne que » l’enquête n’a révélé aucune preuve d’accès non autorisé aux données des coffres-forts des utilisateurs finaux, ni de compromission des données ou des systèmes de production. «
Bitwarden insiste sur le fait que l’intégrité du code légitime de Bitwarden CLI n’a pas été remise en cause, et seule la distribution via npm a été affectée durant une période d’environ 90 minutes.
Les développeurs ayant installé la version incriminée, soit entre 21h57 et 23h30 GMT le 22 avril, sont toutefois invités à considérer leurs systèmes comme compromis et à renouveler leurs identifiants.