Инцидентът засяга разработчици, а не масовите потребители

Нова вълна от supply chain атаки засегна популярния мениджър на пароли Bitwarden, след като атакуващи са внедрили зловреден код в неговия CLI инструмент, разпространяван чрез npm.

Компанията потвърждава, че:

• данните във vault-овете не са компрометирани
• обикновените потребители не са засегнати
• рискът е концентриран при разработчици и DevOps среди

Как се е случила атаката: компрометиран GitHub акаунт и злоупотреба с CI/CD

Според анализ на StepSecurity, атаката е започнала с компрометиране на акаунт в GitHub, използван от инженер на Bitwarden.

След това атакуващите:

• създават нов branch в хранилището
• качват предварително подготвен зловреден пакет (tarball)
• модифицират CI/CD workflow (publish-cli.yml)
• извличат OIDC токен от GitHub Actions
• обменят го за npm authentication token
• публикуват директно компрометирания пакет

За прикриване на следите:

• изтриват workflow логове
• премахват branch и release tag
• оставят само вече публикувания пакет

Ограничен прозорец, но сериозен риск

Зловредната версия Bitwarden CLI 2026.4.0 е била достъпна за кратък период:

• 22 април 2026 г.
• между 17:57 и 19:30 (ET)

Само 334 разработчици са изтеглили пакета, но рискът остава висок, защото:

Дори една компрометирана машина може да се превърне в нова точка за разпространение на атаки по веригата.

Какво краде malware-ът: не само класически креденшъли

Зловредният код е насочен към:

• SSH ключове
• API токени
• креденшъли за Amazon Web Services и Google Cloud Platform
• environment variables

Нов елемент в тази кампания:

• кражба на тайни от ИИ инструменти като
  • Claude Code
  • Codex CLI

Това показва ясно, че атакуващите вече таргетират интеграциите с ИИ в среди за разработчици

Част от по-широка кампания

Атаката срещу Bitwarden е:

• третият supply chain инцидент за три дни
• свързан по инструментариум с предишната компрометация на Checkmarx

Има индикации за връзка с групата TeamPCP, но:

• атрибуцията остава неясна
• наблюдават се различия в поведението и мотивацията
• новият payload съдържа идеологически елементи и послания

Това може да означава:

• различен оператор
• разклонение на групата
• или еволюция на кампанията

Какво трябва да направят засегнатите

Ако сте инсталирали компрометирания пакет:

Незабавни действия:

• деинсталиране на Bitwarden CLI от npm
• проверка за остатъчни зловредни файлове
• ротация на всички креденшъли (локално и в CI/CD)

Допълнителни проверки:

• GitHub workflows за неоторизирани промени
• зависимости и пакети за компрометиране
• логове от CI/CD пайплайни

Дългосрочни мерки: как да се намали рискът

Експертите препоръчват:

• използване на short-lived tokens
• ограничаване на правата за публикуване на пакети
• стриктен контрол върху GitHub Actions
• мониторинг на нови repository-та и workflow промени

Практическа мярка:

• настройка на min-release-age=7 в npm
  • предпазва от бързо публикувани и премахнати зловредни версии

Атаките по веригата стават по-интелигентни и таргетирани

Инцидентът с Bitwarden показва ясно, че:

• supply chain атаките се ускоряват
• целите вече включват не само инфраструктура, но и ИИ инструменти
• дори кратки прозорци на компрометиране са достатъчни за сериозни щети

Това е сигнал към организациите, че защитата вече не трябва да бъде реактивна, а вградена във всеки етап от разработката и доставката на софтуер.

.