Récemment, une faille de sécurité a touché le Bitwarden CLI suite à l’injection d’un package malveillant nommé @bitwarden/cli sur npm. Ce package, conçu pour dérober des informations d’identification, a pu se diffuser dans d’autres projets. Les analyses effectuées par Socket, JFrog et OX Security ont révélé que la version compromise, numéro 2026.4.0, a été disponible entre 17h57 et 19h30 (heure de l’Est) le 22 avril 2026, avant d’être retirée.
Bitwarden a confirmé cet incident, précisant que seules les personnes ayant téléchargé la version malveillante ont été affectées. L’entreprise a précisé : « L’enquête n’a révélé aucune preuve que les données de coffre-fort des utilisateurs finaux avaient été accédées ou compromises. Dès que le problème a été détecté, l’accès compromis a été révoqué, la version malveillante de npm a été dépréciée et des mesures correctives ont été mises en œuvre immédiatement. »
Attaque de la chaîne d’approvisionnement sur Bitwarden
D’après les informations de Socket, il semblerait que des acteurs malveillants aient utilisé une GitHub Action compromise dans le pipeline CI/CD de Bitwarden pour injecter du code malveillant dans le package CLI npm. Selon JFrog, la modification du package incluait un script de pré-installation qui utilisait un chargeur personnalisé nommé bw_setup.js. Ce chargeur vérifiait la présence de l’environnement d’exécution Bun et, si absent, le téléchargeait.
Une fois lancé, le chargeur exécutait un fichier JavaScript obscurci nommé bw1.js, qui servait de malware de vol de données. Le malware collectait une multitude de secrets sur les systèmes infectés, tels que des jetons npm, des jetons d’authentification GitHub, des clés SSH et des identifiants pour AWS, Azure et Google Cloud.
Loader exécutant le fichier malveillant bw1.js
Source : JFrog
Les données collectées étaient chiffrées avec AES-256-GCM et exfiltrées via la création de dépôts publics GitHub sous le compte de la victime. Ces dépôts contenaient la chaîne de caractères « Shai-Hulud: The Third Coming », une référence à des attaques précédentes sur la chaîne d’approvisionnement ayant utilisé des méthodes similaires pour exfiltrer des données volées.
Dépôt d’exfiltration de données contenant la chaîne « Shai-Hulud: The Third Coming »
Source : OX Security
Le malware présentait également des capacités d’auto-propagation, car OX Security a rapporté qu’il pouvait exploiter des identifiants npm volés pour identifier des packages que la victime pouvait modifier et y injecter du code malveillant. Le payload ciblait les environnements CI/CD et tentait de collecter des secrets réutilisables pour étendre l’attaque.
Cette attaque a été révélée dans un contexte où Checkmarx a récemment signalé un autre incident de chaîne d’approvisionnement affectant ses images Docker KICS, ses Actions GitHub et ses extensions pour développeurs. Bien que la méthode d’accès exacte ne soit pas encore connue, Bitwarden a indiqué que l’incident était lié à l’attaque de chaîne d’approvisionnement de Checkmarx, impliquant un outil de développement compromise permettant d’abuser de la voie de livraison npm.
Il a été observé que certains indicateurs entre la faille de Checkmarx et cette attaque se chevauchent. « Le lien se situe au niveau du malware et de l’infrastructure. Dans le cas de Bitwarden, le payload malveillant utilise le même point de terminaison audit.checkmarx[.]cx/v1/telemetry qui est apparu dans l’incident Checkmarx, » a déclaré Socket à BleepingComputer.
Les développeurs ayant installé la version compromise doivent considérer que leurs systèmes et identifiants ont été compromis et doivent procéder à la rotation de tous les identifiants exposés, en particulier ceux utilisés pour les pipelines CI/CD, le stockage dans le cloud et les environnements de développement.
Mise à jour 23/04/26 : Mise à jour de l’article avec des informations de Bitwarden confirmant le lien avec l’attaque de chaîne d’approvisionnement de Checkmarx.