Paket Bitwarden CLI npm disusupi untuk mencuri kredensial pengembang

Diperbarui dengan informasi lebih lanjut dari Bitwarden.

CLI Bitwarden sempat disusupi setelah penyerang mengunggah paket @bitwarden/cli berbahaya ke npm yang berisi muatan pencuri kredensial yang mampu menyebar ke proyek lain.

Menurut laporan oleh Stopkontak, JFrogDan Keamanan Sapipaket berbahaya tersebut didistribusikan sebagai versi 2026.4.0 dan tetap tersedia antara pukul 17.57 hingga 19.30 ET pada tanggal 22 April 2026, sebelum dihapus.

Bitwarden mengkonfirmasi kejadian tersebut, menyatakan bahwa pelanggaran tersebut hanya mempengaruhi saluran distribusi npm untuk paket CLI npm dan hanya mereka yang mengunduh versi berbahaya.

“Penyelidikan tidak menemukan bukti bahwa data brankas pengguna akhir telah diakses atau berisiko, atau bahwa data produksi atau sistem produksi telah disusupi. Setelah masalah terdeteksi, akses yang disusupi akan dicabut, rilis npm yang berbahaya tidak lagi digunakan, dan langkah-langkah remediasi segera dimulai,” kata Bitwarden dalam sebuah penyataan.

“Masalah ini memengaruhi mekanisme distribusi npm untuk CLI selama jangka waktu terbatas tersebut, bukan integritas basis kode Bitwarden CLI yang sah atau data brankas yang disimpan.”

Bitwarden mengatakan pihaknya mencabut akses yang disusupi dan menghentikan rilis CLI npm yang terpengaruh.

Serangan rantai pasokan Bitwarden

Menurut Socket, pelaku ancaman tampaknya telah menggunakan GitHub Action yang telah disusupi dalam pipeline CI/CD Bitwarden untuk memasukkan kode berbahaya ke dalam paket CLI npm.

Menurut JFrog, paket tersebut telah dimodifikasi sehingga skrip pra-instal dan titik masuk CLI menggunakan pemuat khusus bernama bw_setup.jsyang memeriksa runtime Bun dan, jika tidak ada, mendownloadnya.

Loader kemudian menggunakan runtime Bun untuk meluncurkan file JavaScript yang dikaburkan dengan nama bw1.jsyang bertindak sebagai malware pencuri kredensial.

Setelah dijalankan, malware ini mengumpulkan berbagai rahasia dari sistem yang terinfeksi, termasuk token npm, token autentikasi GitHub, kunci SSH, dan kredensial cloud untuk AWS, Azure, dan Google Cloud.

Malware mengenkripsi data yang dikumpulkan menggunakan AES-256-GCM dan mengekstraknya dengan membuat repositori GitHub publik di bawah akun korban, tempat data terenkripsi disimpan.

OX Security mengatakan bahwa repositori yang dibuat ini berisi string “Shai-Hulud: The Third Coming,” sebuah referensi ke serangan rantai pasokan npm sebelumnya yang menggunakan metode dan string teks serupa saat mengeksfiltrasi data yang dicuri.

Malware ini juga memiliki kemampuan propagasi mandiri, dengan OX Security melaporkan bahwa malware ini dapat menggunakan kredensial npm yang dicuri untuk mengidentifikasi paket yang dapat dimodifikasi oleh korban dan menyuntikkannya dengan kode berbahaya.

Socket juga mengamati bahwa muatan tersebut menargetkan lingkungan CI/CD dan berupaya mengumpulkan rahasia yang dapat digunakan kembali untuk memperluas serangan.

Serangan terjadi setelahnya Checkmarx mengungkapkan insiden rantai pasokan terpisah kemarin yang memengaruhi image KICS Docker, GitHub Actions, dan ekstensi pengembangnya.

Meskipun tidak diketahui secara pasti bagaimana penyerang mendapatkan akses, Bitwarden mengatakan kepada BleepingComputer bahwa insiden tersebut terkait dengan serangan rantai pasokan Checkmarx, dengan alat pengembangan terkait Checkmarx yang dikompromikan memungkinkan penyalahgunaan jalur pengiriman npm untuk CLI selama jangka waktu terbatas.

Socket mengatakan kepada BleepingComputer bahwa ada indikator yang tumpang tindih antara pelanggaran Checkmarx dan serangan ini.

“Koneksinya berada pada tingkat malware dan infrastruktur. Dalam kasus Bitwarden, muatan jahat menggunakan hal yang sama audit.checkmarx[.]cx/v1/telemetry titik akhir yang muncul dalam insiden Checkmarx. Itu juga menggunakan hal yang sama __decodeScrambled rutinitas kebingungan dengan benih 0x3039dan menunjukkan pola umum yang sama yaitu pencurian kredensial, eksfiltrasi berbasis GitHub, dan perilaku penyebaran rantai pasokan,” kata Socket kepada BleepingComputer.

“Tumpang tindih ini lebih dari sekedar kemiripan yang dangkal. Payload Bitwarden berisi jenis komponen gzip+base64 tertanam yang sama seperti yang kita lihat di malware sebelumnya, termasuk alat untuk pengumpulan kredensial dan penyalahgunaan hilir.”

Kedua kampanye tersebut telah dikaitkan dengan aktor ancaman yang dikenal sebagai TeamPCP, yang sebelumnya menargetkan paket pengembang secara besar-besaran sepele Dan LiteLLM serangan rantai pasokan.

Pengembang yang menginstal versi yang terpengaruh harus memperlakukan sistem dan kredensial mereka sebagai telah disusupi dan merotasi semua kredensial yang terekspos, terutama yang digunakan untuk pipeline CI/CD, penyimpanan cloud, dan lingkungan pengembang.

Pembaruan 23/4/26: Memperbarui cerita dengan informasi dari Bitwarden yang mengonfirmasi bahwa insiden tersebut terkait dengan serangan rantai pasokan Checkmarx.