Compromission de Bitwarden CLI dans une campagne de chaîne d'approvisionnement

Introduction

Les chercheurs de Socket ont découvert que la version 2026.4.0 de Bitwarden CLI a été compromise dans le cadre d'une campagne de chaîne d'approvisionnement en cours. Cette campagne a déjà touché Checkmarx et d'autres repositories.

Contexte Technique

La compromission de Bitwarden CLI semble avoir été rendue possible par l'exploitation d'une action GitHub compromise dans le pipeline de CI/CD de Bitwarden. Le code malveillant a été publié dans un fichier nommé bw1.js, qui fait partie du package @bitwarden/cli 2026.4.0.

Les mécanismes d'exfiltration de données incluent l'utilisation de l'endpoint audit.checkmarx[.]cx/v1/telemetry et l'obfuscation via __decodeScrambled avec une graine 0x3039. De plus, l'exfiltration se produit également via l'API GitHub et le registre npm.

Analyse et Implications

Les organisations qui ont installé le package npm malveillant doivent traiter cet incident comme une exposition de credenciaux et une compromission de CI/CD. Il est recommandé de supprimer immédiatement le package affecté des systèmes de développement et des environnements de construction, et de faire pivoter toutes les credenciaux qui pourraient avoir été exposées.

Les risques incluent la perte de données sensibles, la compromission de la chaîne d'approvisionnement et les attaques ciblées contre les utilisateurs de Bitwarden CLI. La sécurité des données et la confidentialité des utilisateurs sont mises en danger.

Perspective

Il est essentiel de surveiller les mises à jour et les correctifs pour Bitwarden CLI et d'adopter des mesures de sécurité pour prévenir de futures compromissions. Cela inclut la limitation des accès, la surveillance des journaux et la mise en place de contrôles pour prévenir les attaques de chaîne d'approvisionnement.

Les utilisateurs de Bitwarden CLI doivent être vigilants et prendre des mesures pour se protéger contre les attaques potentielles. La communauté doit rester informée sur les derniers développements et les mises à jour de sécurité pour assurer la protection des données et la confidentialité des utilisateurs.