Invasores comprometeram a versão CLI do gerenciador de senhas Bitwarden, edição 2026.4.0, por meio de uma GitHub Action adulterada, publicando um pacote npm malicioso que rouba ativamente dados de carteiras de cripto e credenciais de desenvolvedores.
A empresa de segurança Socket identificou o ataque em 23 de abril e o relacionou à campanha contínua de supply chain da TeamPCP. A versão maliciosa do npm já foi removida.
Malware ameaça dados de carteiras de cripto e segredos de CI/CD
O código malicioso, incorporado em um arquivo chamado bw1.js, era executado durante a instalação do pacote e coletava tokens do GitHub e npm, chaves SSH, variáveis de ambiente, histórico do shell e credenciais de nuvem.
A campanha mais ampla da TeamPCP foi confirmada de modo independente e também tem como alvo dados de carteiras de cripto, incluindo arquivos das carteiras MetaMask, Phantom e Solana.
De acordo com a JFrog, os dados roubados eram enviados para domínios controlados pelos invasores e posteriormente inseridos novamente em repositórios do GitHub como mecanismo de persistência .
Vários times de cripto utilizam a versão CLI do Bitwarden em pipelines automáticos de CI/CD para injeção de segredos e processos de deploy. Qualquer fluxo de trabalho que tenha executado a versão comprometida pode ter exposto chaves valiosas de carteiras e credenciais de API de exchange.
O pesquisador de segurança Adnan Khan afirmou que este é o primeiro comprometimento conhecido de um pacote usando o mecanismo de publicação confiável do npm, criado justamente para eliminar tokens de longa duração.
O que usuários afetados devem fazer?
A Socket recomenda que todos que instalaram o @bitwarden/cli versão 2026.4.0 troquem imediatamente todos os segredos expostos.
Recomenda-se que usuários retornem para a versão 2026.3.0 ou utilizem apenas binários oficiais e assinados, disponíveis no site da Bitwarden.
Desde março de 2026, a TeamPCP já realizou ataques semelhantes contra Trivy, Checkmarx e LiteLLM, mirando ferramentas de desenvolvimento utilizadas em etapas críticas de pipelines de build.
O cofre principal da Bitwarden permanece íntegro. Somente o processo de build da CLI foi comprometido.
