Des attaquants ont détourné la version CLI du gestionnaire de mots de passe Bitwarden (2026.4.0) par le biais d’une Action GitHub compromise, en publiant un package npm malveillant conçu pour voler activement des données de wallet crypto et des identifiants de développeur.
La société de sécurité Socket a découvert la faille le 23 avril et l’a reliée à la campagne de supply chain TeamPCP en cours. La version pirate du package npm a depuis été retirée.
Un malware ciblant les wallets crypto et les secrets CI/CD
La charge utile malveillante, intégrée dans un fichier nommé bw1.js, s’exécutait lors de l’installation du package et collectait des tokens GitHub et npm, des clés SSH, des variables d’environnement, l’historique du shell ainsi que des identifiants cloud.
La campagne plus large de TeamPCP vise également, il est intéressant de noter, les données des wallets crypto, notamment les fichiers de wallet MetaMask, Phantom et Solana.
Selon JFrog, les données volées étaient exfiltrées vers des domaines contrôlés par les attaquants et réinjectées dans les dépôts GitHub en tant que mécanisme de persistance.
De nombreuses équipes crypto utilisent la CLI Bitwarden dans des pipelines CI/CD automatisés pour injecter et déployer des secrets. Tout flux de travail ayant utilisé la version compromise a pu exposer des clés de wallet à forte valeur ainsi que des identifiants d’API d’exchange.
Le chercheur en sécurité Adnan Khan a précisé qu’il s’agit du premier cas connu de compromission d’un package utilisant le mécanisme de publication de confiance de npm, initialement conçu pour éliminer l’utilisation de tokens à longue durée de vie.
Que doivent faire les utilisateurs concernés ?
Socket recommande à toute personne ayant installé @bitwarden/cli en version 2026.4.0 de renouveler immédiatement tous les secrets potentiellement exposés.
Les utilisateurs doivent revenir à la version 2026.3.0 ou passer aux binaires officiels signés disponibles sur le site de Bitwarden.
Depuis mars 2026, TeamPCP a enchaîné des attaques similaires contre Trivy, Checkmarx et LiteLLM, visant des outils développeurs utilisés dans les pipelines de build avancés.
Le coffre-fort principal de Bitwarden n’est pas concerné. Seul le processus de build de la version CLI a été compromis.
