Bitwarden CLI a fost compromis printr-un atac supply chain
Dacă folosești Bitwarden CLI în vreo automatizare de pe server, ar fi bine să citești ce s-a întâmplat ieri.
Versiunea 2026.4.0 a pachetului @bitwarden/cli publicată pe npm a fost compromisă ca parte dintr-un atac supply chain mai amplu, descoperit de cercetătorii de la Socket în timp ce monitorizau o campanie activă legată de Checkmarx. Practic, cineva a reușit să injecteze cod malițios direct în fișierul bw1.js din cadrul pachetului, înainte ca acesta să fie publicat oficial pe npm, iar utilizatorii care l-au descărcat în acea perioadă au primit deja versiunea infectată fără să știe.
Modul în care s-a întâmplat asta e destul de îngrijorător: atacatorii ar fi exploatat un GitHub Actions workflow din pipeline-ul CI/CD al Bitwarden, adică au intervenit direct în momentul în care se construia și publica pachetul, nu în codul sursă în sine. Exact aceeași tehnică a fost documentată anterior în campania Checkmarx, unde atacatorii furau credențiale, modificau workflow-uri și extrăgeau secrete din depozite, după care republicau pachete npm compromise ca să se răspândească mai departe.
Vestea mai bună e că perioada a fost destul de scurtă. Bitwarden a confirmat că pachetul malițios a fost disponibil pe npm între 17:57 și 19:30 (ora EST) pe 22 aprilie, deci cam o oră și jumătate. Dacă nu ai descărcat pachetul exact în intervalul ăla, cel mai probabil nu ești afectat. Compania a revocat accesul compromis, a depreciat versiunea pe npm și a pornit imediat investigația. Spun că nu există dovezi că parolele și datele salvate în Bitwarden ar fi fost accesate sau că sistemele de producție au fost atinse - problema a vizat strict doar modul în care pachetul ajungea la tine prin npm, nu codul sursă sau datele stocate.
Ce face toată situația mai serioasă e contextul mai larg al campaniei Checkmarx, descoperită împreună cu Docker și Socket. Payload-ul folosit în campanie colecta tokeni GitHub, credențiale cloud (AWS, Azure, Google Cloud), tokeni npm, chei SSH și variabile de mediu din mediile de dezvoltare. Și mai rău, se comporta aproape ca un vierme - folosea tokenii furați ca să injecteze automat workflow-uri malițioase în alte depozite accesibile, extinzând atacul mai departe în lanțul de distribuție software. Nu s-a confirmat încă dacă și compromiterea Bitwarden include exact același payload, dar faptul că s-a folosit exact aceeași metodă prin GitHub Actions lasă să se înțeleagă că e vorba de aceiași oameni.
Dacă ai folosit Bitwarden CLI în scripturi automate în ultimele zile, merită să verifici că nu ai versiunea 2026.4.0 instalată și să te uiți prin log-urile de CI/CD după activitate neobișnuită. Iar dacă există vreo șansă că pipeline-urile tale au rulat cu versiunea respectivă, cel mai bine ar fi să schimbi toate parolele și tokenii care ar fi putut fi expuși.
Supply chain attacks sunt periculoase tocmai pentru că lovesc în locul în care avem cel mai mult încredere - în uneltele pe care le folosim zilnic și în procesele automate pe care le-am construit. Bitwarden a reacționat repede și transparent, ceea ce e de apreciat, dar cazul acesta e un semnal clar că nici ecosistemul open source nu e imun la astfel de atacuri.