🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A CLI da Bitwarden foi comprometida como parte da campanha recém-descoberta e em andamento da cadeia de suprimentos da Checkmarx, de acordo com novas descobertas da JFrog e da Socket.
“A versão do pacote afetado parece ser @bitwarden/cli@2026.4.0, e o código malicioso foi publicado em ‘bw1.js’, um arquivo incluído no conteúdo do pacote”, disse a empresa de segurança de aplicativos.
“O ataque parece ter aproveitado uma ação comprometida do GitHub no pipeline de CI/CD da Bitwarden, consistente com o padrão visto em outros repositórios afetados nesta campanha.”
Em uma postagem no X, JFrog disse que a versão desonesta do pacote “rouba tokens GitHub/npm, .ssh, .env, histórico de shell, ações do GitHub e segredos de nuvem, depois exfiltra os dados para domínios privados e conforme o GitHub se compromete”.
Especificamente, o código malicioso é executado por meio de um gancho de pré-instalação, resultando no roubo de segredos locais, de CI, do GitHub e da nuvem. Os dados são exfiltrados para o domínio "audit.checkmarx[.]cx" e para um repositório GitHub como alternativa se o método primário falhar.
Toda a série de ações está listada abaixo -
Ele lança um ladrão de credenciais que visa segredos de desenvolvedores, ambientes GitHub Actions e configurações de ferramentas de codificação de inteligência artificial (IA), incluindo Claude, Kiro, Cursor, Codex CLI e Aider.
Os dados roubados são criptografados com AES-256-GCM e exfiltrados para audit.checkmarx[.]cx, um domínio que se faz passar pela Checkmarx.
Se os tokens do GitHub forem encontrados, o malware os transforma em armas para injetar fluxos de trabalho de ações maliciosos em repositórios e extrair segredos de CI/CD.
“Um único desenvolvedor com @bitwarden/cli@2026.4.0 instalado pode se tornar o ponto de entrada para um comprometimento mais amplo da cadeia de suprimentos, com o invasor obtendo acesso persistente de injeção de fluxo de trabalho a todos os pipelines de CI/CD que o token do desenvolvedor pode alcançar”, disse StepSecurity.
Embora a versão maliciosa não esteja mais disponível para download no npm, Socket disse que o comprometimento segue o mesmo vetor da cadeia de suprimentos do GitHub Actions identificado na campanha Checkmarx.
Como parte do esforço, foram encontrados agentes de ameaças abusando de tokens GitHub roubados para injetar um novo fluxo de trabalho GitHub Actions que captura segredos disponíveis para a execução do fluxo de trabalho e usa credenciais npm coletadas para enviar versões maliciosas do pacote para ler o malware para usuários downstream.
De acordo com o pesquisador de segurança Adnan Khan, o ator da ameaça teria usado um fluxo de trabalho malicioso para publicar a CLI maliciosa do bitwarden. “Acredito que esta seja a primeira vez que um pacote que usa publicação confiável NPM foi comprometido”, acrescentou Khan.
Cadeia de ataque CLI Bitwarden | Fonte: OX Segurança
Suspeita-se que o agente da ameaça conhecido como TeamPCP esteja por trás do último ataque direcionado à Checkmarx. No momento da escrita, a conta X do TeamPCP foi suspensa por violar as regras da plataforma.
A OX Security, analisando o ataque, disse que identificou a string “Shai-Hulud: A Terceira Vinda” no pacote, sugerindo que esta poderia ser provavelmente a próxima fase da campanha de ataque à cadeia de suprimentos que veio à tona no ano passado.
Referência ao "Shai-Hulud: A Terceira Vinda"
“O último incidente de Shai Hulud é apenas o mais recente em uma longa cadeia de ameaças que visam desenvolvedores em todo o mundo. Os dados do usuário estão sendo exfiltrados publicamente para o GitHub, muitas vezes passando despercebidos porque as ferramentas de segurança normalmente não sinalizam os dados enviados para lá”, disse Moshe Siman Tov Bustan, líder da equipe de pesquisa de segurança da OX Security.
“Isso torna o risco significativamente mais perigoso: qualquer pessoa que pesquise no GitHub pode potencialmente encontrar e acessar essas credenciais. Nesse ponto, os dados confidenciais não estão mais nas mãos de um único ator de ameaça – eles estão expostos a qualquer pessoa.”
Como no caso do incidente Checkmarx, os dados roubados são exfiltrados para repositórios públicos criados nas contas das vítimas usando um esquema de nomenclatura com tema Duna no mesmo formato “--<3 dígitos>”. Mas em uma mudança interessante, o malware também foi projetado para interromper a execução em sistemas se sua localidade corresponder à Rússia.
“As ferramentas compartilhadas sugerem fortemente uma conexão com o mesmo ecossistema de malware, mas as assinaturas operacionais diferem de maneiras que complicam a atribuição”, disse Socket. “Isto sugere ou um operador diferente que utiliza infra-estruturas partilhadas, um grupo dissidente com motivações ideológicas mais fortes, ou uma evolução na postura pública da campanha”.
Quando contatado para comentar, a Bitwarden confirmou o incidente e disse que resultou do comprometimento de seu mecanismo de distribuição npm após o ataque à cadeia de suprimentos da Checkmarx, mas enfatizou que nenhum dado do usuário final foi acessado como parte do ataque. A declaração completa compartilhada com The Hacker News é reproduzida literalmente abaixo -
A equipe de segurança da Bitwarden identificou e continha um pacote malicioso que foi brevemente distribuído através do caminho de entrega npm para @bitwa
“A versão do pacote afetado parece ser @bitwarden/cli@2026.4.0, e o código malicioso foi publicado em ‘bw1.js’, um arquivo incluído no conteúdo do pacote”, disse a empresa de segurança de aplicativos.
“O ataque parece ter aproveitado uma ação comprometida do GitHub no pipeline de CI/CD da Bitwarden, consistente com o padrão visto em outros repositórios afetados nesta campanha.”
Em uma postagem no X, JFrog disse que a versão desonesta do pacote “rouba tokens GitHub/npm, .ssh, .env, histórico de shell, ações do GitHub e segredos de nuvem, depois exfiltra os dados para domínios privados e conforme o GitHub se compromete”.
Especificamente, o código malicioso é executado por meio de um gancho de pré-instalação, resultando no roubo de segredos locais, de CI, do GitHub e da nuvem. Os dados são exfiltrados para o domínio "audit.checkmarx[.]cx" e para um repositório GitHub como alternativa se o método primário falhar.
Toda a série de ações está listada abaixo -
Ele lança um ladrão de credenciais que visa segredos de desenvolvedores, ambientes GitHub Actions e configurações de ferramentas de codificação de inteligência artificial (IA), incluindo Claude, Kiro, Cursor, Codex CLI e Aider.
Os dados roubados são criptografados com AES-256-GCM e exfiltrados para audit.checkmarx[.]cx, um domínio que se faz passar pela Checkmarx.
Se os tokens do GitHub forem encontrados, o malware os transforma em armas para injetar fluxos de trabalho de ações maliciosos em repositórios e extrair segredos de CI/CD.
“Um único desenvolvedor com @bitwarden/cli@2026.4.0 instalado pode se tornar o ponto de entrada para um comprometimento mais amplo da cadeia de suprimentos, com o invasor obtendo acesso persistente de injeção de fluxo de trabalho a todos os pipelines de CI/CD que o token do desenvolvedor pode alcançar”, disse StepSecurity.
Embora a versão maliciosa não esteja mais disponível para download no npm, Socket disse que o comprometimento segue o mesmo vetor da cadeia de suprimentos do GitHub Actions identificado na campanha Checkmarx.
Como parte do esforço, foram encontrados agentes de ameaças abusando de tokens GitHub roubados para injetar um novo fluxo de trabalho GitHub Actions que captura segredos disponíveis para a execução do fluxo de trabalho e usa credenciais npm coletadas para enviar versões maliciosas do pacote para ler o malware para usuários downstream.
De acordo com o pesquisador de segurança Adnan Khan, o ator da ameaça teria usado um fluxo de trabalho malicioso para publicar a CLI maliciosa do bitwarden. “Acredito que esta seja a primeira vez que um pacote que usa publicação confiável NPM foi comprometido”, acrescentou Khan.
Cadeia de ataque CLI Bitwarden | Fonte: OX Segurança
Suspeita-se que o agente da ameaça conhecido como TeamPCP esteja por trás do último ataque direcionado à Checkmarx. No momento da escrita, a conta X do TeamPCP foi suspensa por violar as regras da plataforma.
A OX Security, analisando o ataque, disse que identificou a string “Shai-Hulud: A Terceira Vinda” no pacote, sugerindo que esta poderia ser provavelmente a próxima fase da campanha de ataque à cadeia de suprimentos que veio à tona no ano passado.
Referência ao "Shai-Hulud: A Terceira Vinda"
“O último incidente de Shai Hulud é apenas o mais recente em uma longa cadeia de ameaças que visam desenvolvedores em todo o mundo. Os dados do usuário estão sendo exfiltrados publicamente para o GitHub, muitas vezes passando despercebidos porque as ferramentas de segurança normalmente não sinalizam os dados enviados para lá”, disse Moshe Siman Tov Bustan, líder da equipe de pesquisa de segurança da OX Security.
“Isso torna o risco significativamente mais perigoso: qualquer pessoa que pesquise no GitHub pode potencialmente encontrar e acessar essas credenciais. Nesse ponto, os dados confidenciais não estão mais nas mãos de um único ator de ameaça – eles estão expostos a qualquer pessoa.”
Como no caso do incidente Checkmarx, os dados roubados são exfiltrados para repositórios públicos criados nas contas das vítimas usando um esquema de nomenclatura com tema Duna no mesmo formato “
“As ferramentas compartilhadas sugerem fortemente uma conexão com o mesmo ecossistema de malware, mas as assinaturas operacionais diferem de maneiras que complicam a atribuição”, disse Socket. “Isto sugere ou um operador diferente que utiliza infra-estruturas partilhadas, um grupo dissidente com motivações ideológicas mais fortes, ou uma evolução na postura pública da campanha”.
Quando contatado para comentar, a Bitwarden confirmou o incidente e disse que resultou do comprometimento de seu mecanismo de distribuição npm após o ataque à cadeia de suprimentos da Checkmarx, mas enfatizou que nenhum dado do usuário final foi acessado como parte do ataque. A declaração completa compartilhada com The Hacker News é reproduzida literalmente abaixo -
A equipe de segurança da Bitwarden identificou e continha um pacote malicioso que foi brevemente distribuído através do caminho de entrega npm para @bitwa
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cli #da #bitwarden #comprometida #na #campanha #contínua #da #cadeia #de #suprimentos #da #checkmarx
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário