Bitwarden CLI npm paket kompromitovan radi krađe developerskih kredencijala
Bitwarden CLI paket na npm-u bio je kratko kompromitovan 22. aprila 2026, kada je objavljena zlonamerna verzija 2026.4.0 sa payloadom za krađu kredencijala. Bitwarden navodi da incident nije ugrozio podatke iz korisničkih vaultova, produkcione sisteme ni legitimni CLI codebase, već samo npm kanal distribucije tokom ograničenog vremenskog perioda. Malware je prikupljao npm tokene, GitHub tokene, SSH ključeve i cloud kredencijale za AWS, Azure i Google Cloud, a podatke je iznosio pravljenjem javnih GitHub repozitorijuma pod nalogom žrtve. Prema navodima istraživača, napad ima preklapanja sa Checkmarx supply-chain incidentom i ranijim kampanjama povezanim sa grupom TeamPCP.
Za razvojne timove ovakvi incidenti su posebno nezgodni jer kompromitovan alat iz pouzdanog ekosistema može brzo da se pretvori u krađu ključeva za druge servise. Kada se ukradu npm, GitHub, SSH i cloud kredencijali, napad više nije ograničen na jedan paket, već može da se proširi kroz CI/CD, repozitorijume i druge projekte koje žrtva održava.
- Ako je instalirana verzija @bitwarden/cli 2026.4.0 sa npm-a, sistem tretirati kao kompromitovan
- Odmah rotirati npm tokene, GitHub tokene, SSH ključeve i cloud kredencijale korišćene na tom sistemu
- Pregledati GitHub naloge za nepoznate javne repozitorijume i sumnjive promene u paketima
- Proveriti CI/CD logove, GitHub Actions i build okruženja za neobično pokretanje skripti i pristup tajnama
- Ograničiti privilegije tokena i koristiti kraće važeće kredencijale gde god je moguće