🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Atualizado com mais informações da Bitwarden.
A CLI do Bitwarden foi brevemente comprometida depois que os invasores enviaram um pacote malicioso @bitwarden/cli para o npm contendo uma carga útil de roubo de credenciais capaz de se espalhar para outros projetos.
De acordo com relatórios da Socket, JFrog e OX Security, o pacote malicioso foi distribuído como versão 2026.4.0 e permaneceu disponível entre 17h57 e 19h30 horário do leste dos EUA em 22 de abril de 2026, antes de ser removido.
A Bitwarden confirmou o incidente, afirmando que a violação afetou apenas seu canal de distribuição npm para o pacote CLI npm e apenas aqueles que baixaram a versão maliciosa.
"A investigação não encontrou nenhuma evidência de que os dados do cofre do usuário final foram acessados ou estavam em risco, ou que os dados ou sistemas de produção foram comprometidos. Assim que o problema foi detectado, o acesso comprometido foi revogado, a versão maliciosa do npm foi descontinuada e as etapas de correção foram iniciadas imediatamente", a Bitwarden compartilhou em um comunicado.
“O problema afetou o mecanismo de distribuição npm para a CLI durante aquela janela limitada, não a integridade da base de código legítima da CLI da Bitwarden ou dos dados armazenados do cofre.”
A Bitwarden diz que revogou o acesso comprometido e descontinuau a versão npm da CLI afetada.
O ataque à cadeia de suprimentos da Bitwarden
De acordo com Socket, os agentes de ameaças parecem ter usado uma ação GitHub comprometida no pipeline CI/CD da Bitwarden para injetar código malicioso no pacote CLI npm.
De acordo com JFrog, o pacote foi modificado para que o script de pré-instalação e o ponto de entrada CLI usem um carregador personalizado chamado bw_setup.js, que verifica o tempo de execução do Bun e, se não existir, faz o download.
O carregador então usa o tempo de execução Bun para iniciar um arquivo JavaScript ofuscado chamado bw1.js, que atua como malware para roubo de credenciais.
Carregador executando o arquivo bw1.js maliciosoFonte: Jfrog
Uma vez executado, o malware coleta uma ampla variedade de segredos de sistemas infectados, incluindo tokens npm, tokens de autenticação GitHub, chaves SSH e credenciais de nuvem para AWS, Azure e Google Cloud.
O malware criptografa os dados coletados usando AES-256-GCM e os exfiltra criando repositórios públicos no GitHub na conta da vítima, onde os dados criptografados são armazenados.
A OX Security afirma que esses repositórios criados contêm a string "Shai-Hulud: The Third Coming", uma referência a ataques anteriores à cadeia de suprimentos npm que usaram um método semelhante e uma string de texto ao exfiltrar dados roubados.
Repositório de exfiltração de dados com uma string "Shai-Hulud: The Third Coming"Fonte: OX Security
O malware também possui recursos de autopropagação, com a OX Security relatando que ele pode usar credenciais npm roubadas para identificar pacotes que a vítima pode modificar e injetar código malicioso neles.
Socket também observou que a carga útil tem como alvo ambientes CI/CD e tenta coletar segredos que podem ser reutilizados para expandir o ataque.
O ataque ocorre depois que a Checkmarx divulgou ontem um incidente separado na cadeia de suprimentos que afeta suas imagens KICS Docker, ações do GitHub e extensões de desenvolvedor.
Embora não se saiba exatamente como os invasores obtiveram acesso, Bitwarden disse ao BleepingComputer que o incidente estava ligado ao ataque à cadeia de suprimentos da Checkmarx, com uma ferramenta de desenvolvimento relacionada à Checkmarx comprometida, permitindo o abuso do caminho de entrega npm para a CLI durante um período de tempo limitado.
Socket disse ao BleepingComputer que existem indicadores sobrepostos entre a violação da Checkmarx e este ataque.
"A conexão está no nível de malware e infraestrutura. No caso do Bitwarden, a carga maliciosa usa o mesmo endpoint audit.checkmarx[.]cx/v1/telemetry que apareceu no incidente Checkmarx. Ele também usa a mesma rotina de ofuscação __decodeScrambled com a semente 0x3039 e mostra o mesmo padrão geral de roubo de credenciais, exfiltração baseada em GitHub e comportamento de propagação da cadeia de suprimentos", disse Socket ao BleepingComputer.
"Essa sobreposição vai além de uma semelhança superficial. A carga útil do Bitwarden contém o mesmo tipo de componentes gzip + base64 incorporados que vimos no malware anterior, incluindo ferramentas para coleta de credenciais e abuso downstream."
Ambas as campanhas foram vinculadas a um ator de ameaça conhecido como TeamPCP, que anteriormente tinha como alvo pacotes de desenvolvedores nos ataques massivos à cadeia de suprimentos Trivy e LiteLLM.
Os desenvolvedores que instalaram a versão afetada devem tratar seus sistemas e credenciais como comprometidos e alternar todas as credenciais expostas, especialmente aquelas usadas para pipelines de CI/CD, armazenamento em nuvem e ambientes de desenvolvedor.
Atualização 23/04/26: Atualizada a história com informações da Bitwarden confirmando que o incidente estava ligado ao ataque à cadeia de suprimentos da Checkmarx.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novidades
A CLI do Bitwarden foi brevemente comprometida depois que os invasores enviaram um pacote malicioso @bitwarden/cli para o npm contendo uma carga útil de roubo de credenciais capaz de se espalhar para outros projetos.
De acordo com relatórios da Socket, JFrog e OX Security, o pacote malicioso foi distribuído como versão 2026.4.0 e permaneceu disponível entre 17h57 e 19h30 horário do leste dos EUA em 22 de abril de 2026, antes de ser removido.
A Bitwarden confirmou o incidente, afirmando que a violação afetou apenas seu canal de distribuição npm para o pacote CLI npm e apenas aqueles que baixaram a versão maliciosa.
"A investigação não encontrou nenhuma evidência de que os dados do cofre do usuário final foram acessados ou estavam em risco, ou que os dados ou sistemas de produção foram comprometidos. Assim que o problema foi detectado, o acesso comprometido foi revogado, a versão maliciosa do npm foi descontinuada e as etapas de correção foram iniciadas imediatamente", a Bitwarden compartilhou em um comunicado.
“O problema afetou o mecanismo de distribuição npm para a CLI durante aquela janela limitada, não a integridade da base de código legítima da CLI da Bitwarden ou dos dados armazenados do cofre.”
A Bitwarden diz que revogou o acesso comprometido e descontinuau a versão npm da CLI afetada.
O ataque à cadeia de suprimentos da Bitwarden
De acordo com Socket, os agentes de ameaças parecem ter usado uma ação GitHub comprometida no pipeline CI/CD da Bitwarden para injetar código malicioso no pacote CLI npm.
De acordo com JFrog, o pacote foi modificado para que o script de pré-instalação e o ponto de entrada CLI usem um carregador personalizado chamado bw_setup.js, que verifica o tempo de execução do Bun e, se não existir, faz o download.
O carregador então usa o tempo de execução Bun para iniciar um arquivo JavaScript ofuscado chamado bw1.js, que atua como malware para roubo de credenciais.
Carregador executando o arquivo bw1.js maliciosoFonte: Jfrog
Uma vez executado, o malware coleta uma ampla variedade de segredos de sistemas infectados, incluindo tokens npm, tokens de autenticação GitHub, chaves SSH e credenciais de nuvem para AWS, Azure e Google Cloud.
O malware criptografa os dados coletados usando AES-256-GCM e os exfiltra criando repositórios públicos no GitHub na conta da vítima, onde os dados criptografados são armazenados.
A OX Security afirma que esses repositórios criados contêm a string "Shai-Hulud: The Third Coming", uma referência a ataques anteriores à cadeia de suprimentos npm que usaram um método semelhante e uma string de texto ao exfiltrar dados roubados.
Repositório de exfiltração de dados com uma string "Shai-Hulud: The Third Coming"Fonte: OX Security
O malware também possui recursos de autopropagação, com a OX Security relatando que ele pode usar credenciais npm roubadas para identificar pacotes que a vítima pode modificar e injetar código malicioso neles.
Socket também observou que a carga útil tem como alvo ambientes CI/CD e tenta coletar segredos que podem ser reutilizados para expandir o ataque.
O ataque ocorre depois que a Checkmarx divulgou ontem um incidente separado na cadeia de suprimentos que afeta suas imagens KICS Docker, ações do GitHub e extensões de desenvolvedor.
Embora não se saiba exatamente como os invasores obtiveram acesso, Bitwarden disse ao BleepingComputer que o incidente estava ligado ao ataque à cadeia de suprimentos da Checkmarx, com uma ferramenta de desenvolvimento relacionada à Checkmarx comprometida, permitindo o abuso do caminho de entrega npm para a CLI durante um período de tempo limitado.
Socket disse ao BleepingComputer que existem indicadores sobrepostos entre a violação da Checkmarx e este ataque.
"A conexão está no nível de malware e infraestrutura. No caso do Bitwarden, a carga maliciosa usa o mesmo endpoint audit.checkmarx[.]cx/v1/telemetry que apareceu no incidente Checkmarx. Ele também usa a mesma rotina de ofuscação __decodeScrambled com a semente 0x3039 e mostra o mesmo padrão geral de roubo de credenciais, exfiltração baseada em GitHub e comportamento de propagação da cadeia de suprimentos", disse Socket ao BleepingComputer.
"Essa sobreposição vai além de uma semelhança superficial. A carga útil do Bitwarden contém o mesmo tipo de componentes gzip + base64 incorporados que vimos no malware anterior, incluindo ferramentas para coleta de credenciais e abuso downstream."
Ambas as campanhas foram vinculadas a um ator de ameaça conhecido como TeamPCP, que anteriormente tinha como alvo pacotes de desenvolvedores nos ataques massivos à cadeia de suprimentos Trivy e LiteLLM.
Os desenvolvedores que instalaram a versão afetada devem tratar seus sistemas e credenciais como comprometidos e alternar todas as credenciais expostas, especialmente aquelas usadas para pipelines de CI/CD, armazenamento em nuvem e ambientes de desenvolvedor.
Atualização 23/04/26: Atualizada a história com informações da Bitwarden confirmando que o incidente estava ligado ao ataque à cadeia de suprimentos da Checkmarx.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novidades
#samirnews #samir #news #boletimtec #pacote #npm #bitwarden #cli #comprometido #para #roubar #credenciais #de #desenvolvedor
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário