Bitwarden CLI zahvaćen u napadu na lanac snabdevanja - trojanski kod kraden akreditivne podatke
Bitwarden CLI zahvaćen trojskom verzijom 2026.4.0 koja je krala razvojne akreditive - brzo otkriven i obrisan.
Šta se desilo?
Istraživači su otkrili da je zlonameran verzija Bitwarden CLI-ja, terminal verzije popularnog upravljača lozinkama otvorenog koda, objavljena na npm registru. Napada je verovatno povezan sa serijom kompromitovanja u lancu snabdevanja koju pripisuje grupi poznatoj kao TeamPCP. Trojanski kod je objavljen kao verzija 2026.4.0 i detektovan je i obrisan u roku od samo sat i po sati.
Koga pogađa?
U riziku su programeri i stručnjaci za infrastrukturu koji koriste Bitwarden CLI na svojim mašinama za razvoj. Napad je posebno opasan jer ciljane akreditive omogućavaju dodatne napade na lanac snabdevanja. Bitwarden ima preko 10 miliona korisnika, uključujući 50.000 poslovnih kupaca, ali je ovaj specifičan napad uticao samo na CLI verziju, ne na šire korišćeni veb dodatak za pretraživače.
Kako se zaštititi?
- Ako ste instalirali verziju 2026.4.0, odmah pretpostavite da su oblačni i razvojni akreditivni podaci kompromitirani
- Deinstalirajte zlonamernu verziju i očistite npm predmemoriju
- Opozvite sve GitHub PAT-e (Personal Access Tokens) sa pogođenih mašina
- Rotirajte npm tokene, AWS ključeve pristupa i Azure/GCP tajne
- Pregledajte GitHub Actions tokove rada za neovlašćene pokretanja ili grane
- Blokirajte IP 94.154.172.43 i domen audit.checkmarx.cx na mrežnim izlazima
- Onemogućite npm skriptove gde je moguće, posebno za nepouzdane pakete
Tehnički detalji
Trojanski kod je sadržavao prilagođeni učitač bw_setup.js koji proverava da li je bun menadžer paketa instaliran, a zatim ga koristi za izvršavanje bw1.js. Ako bun ne postoji, biva preuzet sa GitHub-a. Zlonamenni kod je dizajniran da detektuje i sakuplja širok spektar akreditivnih podataka sa fajl sistema, okruženja shell-a i GitHub Actions konfiguracija - uključujući GitHub tokene, npm tokene, AWS i GCP akreditive, API ključeve, Git akreditive, SSH ključeve i više. Ako su pronađeni GitHub tokeni, kod automatski ih koristi pokušavajući nekoliko putanja eskalacije uključujući izvršavanje GitHub Actions i listanje tajni iz tokova rada.
Preporuka Sajber Radara
Razvijači koji su ažurirali Bitwarden CLI trebaju odmah da proverite da li je uključena verzija 2026.4.0 i da primene sve preporučene mere remedijeranja. Ovo je primer kako lanac snabdevanja ostaje kritična tačka napada - redovno pratite bezbednosne saopštenja za sve alate koje koristite u razvoju.