Socketのサイバーセキュリティ研究者たちは、Bitwarden CLIに影響を与える大規模なサプライチェーン侵害を発見しました。
攻撃者はBitwardenのCI/CDパイプライン内のGitHub Actionを悪用して、人気のあるパスワードマネージャーのnpmパッケージに悪質なコードを挿入しました。この侵害は、より広範な継続中のCheckmarxサプライチェーンキャンペーンの一部です。
Bitwarden CLIが侵害される
侵害されたパッケージは@bitwarden/cliバージョン2026.4.0と特定されており、bw1.jsという名前のファイルに隠された悪質なペイロードが含まれています。Socketによって報告されたように
現在のところ、侵害はコマンドラインインターフェースのnpmパッケージにのみ影響しています。Bitwardenのブラウザ拡張機能および他の正規配布版は安全なままです。
このマルウェアは最近のCheckmarx攻撃とコアインフラストラクチャを共有しており、同じコマンド&コントロールエンドポイントと通信しています。実行されると、スクリプトは積極的な認証情報収集ツールになります。
メモリと環境変数をスクレイピングして、GitHubトークン、AWS、Azure、GCPのクラウド認証情報、npm設定ファイル、およびSSHキーを盗みます。
Checkmarxキャンペーンとインフラストラクチャを共有しながら、この特定のペイロードはいくつかの明確で異常な動作を備えています。
特に注目すべき点は、マルウェアにはロシアロケールキルスイッチが含まれていることです。システムロケールまたは環境変数が「ru」で始まる場合、実行されずに静かに終了します。
攻撃者はSF映画フランチャイズのDuneをテーマにした明確なイデオロギーブランディングも埋め込みました。盗まれたデータは、被害者のアカウントの下で公開GitHubリポジトリを自動的に作成することで流出されます。
これらのリポジトリはDuneをテーマにした命名規則を使用し、「fremen」、「sandworm」、「mentat」のような特定の用語とランダムな単語を組み合わせます。
さらに、リポジトリの説明には「Shai-Hulud:The Third Coming」のようなフレーズと埋め込まれた「Butlerian Jihad」宣言が含まれています。
感染した開発者マシンで永続性を維持するために、ペイロードはシェルプロファイルに自身を挿入します。また、複数のマルウェアインスタンスが同時に実行されるのを防ぐために、ハードコードされたロックファイルを使用します。
開発者向けの軽減策
Bitwarden npmパッケージを使用している組織は、これを深刻なCI/CD侵害および認証情報露出イベントとして扱う必要があります。セキュリティチームは環境を保護するためにすぐに対応する必要があります。
- 影響を受けた@bitwarden/cliパッケージをすべての開発者システムおよびビルドパイプラインからすぐに削除します。
- GitHubトークン、クラウドプラットフォーム認証情報、npmトークン、SSHキーを含む、潜在的に公開されたすべてのシークレットをローテーションします。
- 不正なリポジトリ作成についてGitHub環境を監査し、特にDune関連のキーワードや予期しないワークフローファイルを含むものを確認します。
- npmリポジトリを不正な公開または挿入されたプリインストールフックについて検査します。マルウェアはそれ自体をさらに伝播するためにnpmトークンを盗もうとするため。
- 通常でないインフラストラクチャへのアウトバウンド接続またはクラウド認証情報ストアへの予期しないアクセスについて、ネットワークログを監視します。
- トークンスコープをロックダウンし、短期間の認証情報を要求し、GitHub Actionsのアクセス権限を強化することで、将来のインシデントの影響範囲を制限して長期的なセキュリティを向上させます。
IOCs
悪質なパッケージ
@bitwarden/cli2026.4.0
ネットワークインジケータ
94[.]154[.]172[.]43https://audit.checkmarx[.]cx/v1/telemetry
ファイルシステムインジケータ(被害パッケージ侵害)
/tmp/tmp.987654321.lock/tmp/_tmp_<Unix Epoch Timestamp>/package-updated.tgz
翻訳元: https://gbhackers.com/bitwarden-cli-compromised/
