Degli hacker hanno compromesso la versione CLI 2026.4.0 del password manager Bitwarden tramite una GitHub Action malevola, pubblicando un pacchetto npm infetto che ruba attivamente dati di wallet crypto e credenziali degli sviluppatori.
L’azienda di sicurezza Socket ha scoperto la violazione il 23 aprile e l’ha collegata all’attuale campagna supply chain di TeamPCP. La versione npm compromessa è stata successivamente rimossa.
Il malware mette a rischio wallet crypto e segreti CI/CD
Il payload malevolo, incluso in un file chiamato bw1.js, veniva eseguito durante l’installazione del pacchetto e raccoglieva token GitHub e npm, chiavi SSH, variabili di ambiente, cronologia della shell e credenziali cloud.
La più ampia campagna di TeamPCP è stata anche confermata indipendentemente come rivolta alla sottrazione di dati dei wallet crypto, inclusi file di wallet MetaMask, Phantom e Solana.
Secondo JFrog, i dati rubati venivano esfiltrati verso domini controllati dagli hacker e caricati nuovamente nei repository GitHub come meccanismo di persistenza.
Molti team crypto utilizzano la Bitwarden CLI nelle pipeline automatizzate CI/CD per l’iniezione di segreti e i deployment. Qualsiasi workflow che abbia eseguito la versione compromessa potrebbe aver esposto chiavi di wallet ad alto valore e credenziali API di exchange.
Il ricercatore di sicurezza Adnan Khan ha sottolineato che questo è il primo hack conosciuto di un pacchetto attraverso il meccanismo trusted publishing di npm, progettato per eliminare i token a lunga durata.
Cosa devono fare gli utenti colpiti
Socket raccomanda a chiunque abbia installato @bitwarden/cli versione 2026.4.0 di ruotare immediatamente tutti i segreti potenzialmente esposti.
Gli utenti dovrebbero effettuare il downgrade alla versione 2026.3.0 oppure utilizzare i binari ufficiali firmati scaricandoli dal sito di Bitwarden.
TeamPCP ha anche lanciato attacchi simili contro Trivy, Checkmarx e LiteLLM dal marzo 2026, prendendo di mira strumenti per sviluppatori centrali nelle pipeline di build.
Il core vault di Bitwarden non è stato interessato. Solo il processo di build della CLI è stato compromesso.
