Atak na łańcuch dostaw. Złośliwa aktualizacja Bitwarden CLI zagrażała deweloperom

Menedżery haseł to fundament cyfrowego bezpieczeństwa, dlatego każda informacja o incydentach w ich infrastrukturze budzi natychmiastowy niepokój.

Badacze z firm Socket oraz JFrog Security odkryli złośliwą aktualizację interfejsu wiersza poleceń (CLI) dla popularnego Bitwardena. Choć sytuacja wyglądała groźnie, atak miał charakter wysoce ukierunkowany i – co najważniejsze – prywatne sejfy z hasłami użytkowników pozostały całkowicie bezpieczne.

Incydent miał miejsce 22 kwietnia 2026 roku. W ramach szerzej zakrojonej kampanii wymierzonej w łańcuchy dostaw (tzw. supply chain attack), w repozytorium npm pojawiła się zmodyfikowana, złośliwa wersja pakietu Bitwarden CLI, oznaczona numerem 2026.4.0. Z oficjalnego komunikatu firmy wynika, iż paczka była dostępna do pobrania przez niezwykle krótkie okno czasowe – około 1,5 godziny.

Hakerzy (najprawdopodobniej grupa TeamPCP) wykorzystali przejęte wcześniej tokeny, aby opublikować infekujący kod. Co istotne, atak ten jest bezpośrednio powiązany z wcześniejszym naruszeniem infrastruktury firmy Checkmarx, zajmującej się dostarczaniem narzędzi do testowania bezpieczeństwa aplikacji.

Precyzyjne uderzenie w środowiska chmurowe

Analiza przeprowadzona przez ekspertów z JFrog i OX Security wykazała, iż złośliwa aktualizacja nie była nastawiona na przeciętnego użytkownika zapisującego hasła do serwisów społecznościowych. To zaawansowane narzędzie stworzone do infiltracji środowisk deweloperskich.

Zmodyfikowany pakiet wykorzystywał niestandardowy loader (bw_setup.js), uruchamiany automatycznie podczas procesu instalacji. Uwalniał on zaciemniony skrypt, który po cichu skanował system ofiary, kradnąc najbardziej wrażliwe dane programistyczne:

• Klucze SSH oraz historię poleceń w terminalu.
• Tokeny autoryzacyjne dla platform GitHub oraz npm.
• Poświadczenia dostępowe do chmur AWS, Microsoft Azure i Google Cloud Platform (GCP).
• Pliki konfiguracyjne środowisk Kubernetes, systemów CI/CD oraz narzędzi bazujących na sztucznej inteligencji.

Zgromadzone dane były kompresowane, podwójnie szyfrowane i wysyłane na przejęty serwer (podszywający się pod usługi telemetryczne Checkmarx). W przypadku blokady tego połączenia złośliwy kod wykorzystywał tokeny ofiary, aby stworzyć na jej prywatnym koncie GitHub nowe repozytorium i tam przemycić wykradzione informacje.

Sejfy z hasłami są bezpieczne

Bitwarden zareagował błyskawicznie, usuwając fałszywą wersję z repozytorium i odcinając skompromitowane punkty dostępu. W oficjalnym oświadczeniu firma jasno zaznaczyła, iż główny kod źródłowy aplikacji oraz systemy produkcyjne nie zostały naruszone. Nie ma również żadnych dowodów na to, by atakujący uzyskali dostęp do zaszyfrowanych sejfów użytkowników. Problem dotyczy wyłącznie specyficznej grupy programistów i administratorów, którzy pobrali Bitwarden CLI w wersji 2026.4.0 bezpośrednio przez menedżer npm we wskazanym, 1,5-godzinnym oknie czasowym.

Osoby, które mogły paść ofiarą ataku, powinny natychmiast wykonać kroki zaradcze:

• Odinstalować skompromitowaną paczkę (npm uninstall -g @bitwarden/cli).
• Wyczyścić pamięć podręczną menedżera (npm cache clean –force).
• Bezwzględnie zresetować i wygenerować na nowo wszystkie klucze API, tokeny dostępowe oraz klucze SSH, które znajdowały się na zainfekowanej maszynie.
• Zainstalować najnowszą, czystą wersję Bitwarden CLI 2026.4.1.

Eksperci z branży cyberbezpieczeństwa zgodnie podkreślają – ten incydent nie jest powodem do rezygnacji z menedżerów haseł. Ryzyko wynikające z używania tych samych ciągów znaków w wielu serwisach jest wielokrotnie wyższe niż to płynące z ukierunkowanych ataków na pakiety deweloperskie.

Rosnąca fala phishingu: ataki na kopie iCloud z użyciem fałszywych stron Apple

Jeśli artykuł Atak na łańcuch dostaw. Złośliwa aktualizacja Bitwarden CLI zagrażała deweloperom nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.