NPM vérolé du Bitwarden CLI : secrets dérobés et alerte sécurité Un paquet NPM malveillant du Bitwarden CLI a dérobé des secrets, déclenchant une alerte sur la chaîne d’approvisionnement et des mesures de remédiation.
Le paquet NPM vérolé du Bitwarden CLI, publié sous la version 2026.4.0, a été identifié comme une menace qui vole les secrets des développeurs. L’éditeur Bitwarden et la communauté NPM ont rapidement réagi en marquant cette version comme obsolète et en demandant son retrait. Cette affaire illustre une nouvelle étape dans les attaques de la supply chain logicielle.
Comment s’est déroulée l’attaque et ce qui était ciblé
Les chercheurs de JFrog indiquent que le paquet vérolé réutilise les métadonnées du fichier build/bw.js de la version légitime 2026.3.0 et redirige le chargement vers un script bw_setup.js. Ce dernier vérifie si l’environnement d’exécution Bun est installé et en récupère une version si nécessaire.
Le module malveillant peut alors lancer l’exécution du fichier bw1.js, qui cible des fichiers de configuration et des identifiants stockés par les développeurs, notamment des clés SSH et des secrets liés à Git, NPM, AWS, Google Cloud Platform, ainsi que des configurations d’outils d’IA tels que Claude ou Kiro.
Modes d’exfiltration et ce qui peut être visé
Selon les chercheurs, deux mécanismes d’exfiltration sont envisageables. Soit les données sont envoyées par une requête POST après sérialisation, compression et chiffrement, soit elles sont stockées dans un nouveau dépôt GitHub sous forme de blobs JSON.
Mesures immédiates et recommandations
Pour les utilisateurs qui auraient installé la version 2026.4.0, Bitwarden recommande de partir du principe que des identifiants ont potentiellement été compromis et de procéder à la désinstallation du paquet et au renouvellement des secrets.
npm uninstall -g @bitwarden/cli
npm cache clean --force
npm config set ignore-scripts true
En parallèle, des traces d’audit peuvent être recherchées pour identifier les artefacts du compromis.
rg -n audit.checkmarx.cx LongLiveTheResistanceAgainstMachines beautifulcastle
ls -la bun bun.exe bw1.js bw_setup.js 2>/dev/null
Contexte et attribution
Dans le billet dédié, l’attaque est attribuée rapidement au groupe de pirates TeamPCP, soupçonné d’être à l’origine d’attaques similaires contre Xinference. Toutefois, aucune preuve publique n’a permis d’authentifier formellement ce groupe, et le compte « officiel » de TeamPCP a été suspendu.
Socket précise que cette attaque semble s’inscrire dans la continuité des campagnes liées à Checkmarx et KICS, et que des éléments indiquent une compromission de l’action GitHub dans le pipeline de Bitwarden.
Ce que Bitwarden et les autorités disent
Bitwarden a confirmé que la version vérolée a été distribuée pendant environ 1h30 le 22 avril et qu’elle s’inscrivait dans un incident plus large touchant la supply chain de Checkmarx. Aucune compromission des coffres-forts des utilisateurs n’a été constatée à ce stade, mais un CVE est en cours d’émission.
Pour terminer
Cette affaire rappelle que les dépendances tierces restent une surface d’attaque critique. La vigilance des éditeurs et des développeurs, associée à des mesures rapides de remédiation, est indispensable pour limiter l’impact et prévenir de futures attaques.
