Penyerang membajak Bitwarden versi CLI 2026.4.0 melalui GitHub Action yang terkompromi, lalu menerbitkan paket npm berbahaya yang secara aktif mencuri data wallet kripto dan kredensial pengembang.
Perusahaan keamanan Socket menemukan pelanggaran ini pada 23 April dan mengaitkannya dengan kampanye supply chain TeamPCP yang masih berlangsung. Versi npm yang disusupi tersebut kini sudah ditarik.
Malware Target Mengancam Wallet Kripto dan Rahasia CI/CD
Payload berbahaya yang disisipkan lewat file bernama bw1.js berjalan saat instalasi paket dan mengambil token GitHub dan npm, kunci SSH, variabel lingkungan, riwayat shell, serta kredensial cloud.
Kampanye TeamPCP secara terpisah juga terbukti menargetkan data wallet kripto, termasuk file wallet MetaMask, Phantom, dan Solana.
Menurut JFrog, data yang dicuri dikirimkan ke domain milik penyerang dan juga dikirim balik ke repository GitHub sebagai mekanisme persistensi.
Banyak tim kripto memakai Bitwarden CLI dalam pipeline CI/CD otomatis untuk injeksi rahasia dan deployment. Workflow yang menjalankan versi terkompromi bisa jadi membocorkan kunci wallet bernilai tinggi dan kredensial API exchange.
Peneliti keamanan Adnan Khan menyoroti bahwa ini adalah insiden pertama yang diketahui, di mana sebuah paket berhasil disusupi melalui trusted publishing mechanism milik npm, yang sebenarnya dirancang untuk menghilangkan token jangka panjang.
Yang Harus Dilakukan Pengguna Terdampak
Socket merekomendasikan semua yang menginstal @bitwarden/cli versi 2026.4.0 agar segera memutakhirkan semua rahasia yang mungkin sudah terekspos.
Pengguna sebaiknya menurunkan ke versi 2026.3.0 atau beralih ke binary resmi yang ditandatangani dari situs Bitwarden.
Sejak Maret 2026, TeamPCP melakukan serangan serupa terhadap Trivy, Checkmarx, dan LiteLLM, menargetkan alat pengembang yang ada di dalam pipeline build.
Inti vault Bitwarden sendiri tetap aman. Hanya proses build CLI saja yang terkompromi.
