हमलावरों ने पासवर्ड मैनेजर Bitwarden के CLI वर्शन 2026.4.0 को एक खराब GitHub Action के ज़रिए हैक कर लिया, और एक मैलिशियस npm पैकेज पब्लिश किया जो एक्टिवली क्रिप्टो वॉलेट डेटा और डेवलपर क्रेडेंशियल्स चुरा रहा था।
सिक्योरिटी फर्म Socket ने 23 अप्रैल को इस ब्रीच का पता लगाया और इसे TeamPCP की चल रही सप्लाई चेन कैंपेन से जोड़ा। इसके बाद गलत npm वर्शन को हटा दिया गया है।
मैलवेयर टार्गेट के जोखिम: क्रिप्टो वॉलेट्स और CI/CD सीक्रेट्स
मैलिशियस पेलोड, जो bw1.js नाम की फाइल में था, पैकेज इंस्टालेशन के दौरान चलता था और GitHub व npm टोकन, SSH कीज, एनवायरनमेंट वेरिएबल्स, शेल हिस्ट्री और क्लाउड क्रेडेंशियल्स को कलेक्ट करता था।
TeamPCP की बड़ी कैंपेन का कन्फर्मेशन अलग से भी मिला है कि यह क्रिप्टो वॉलेट डेटा को टार्गेट कर रही है, जिसमें MetaMask, Phantom और Solana वॉलेट फाइल्स शामिल हैं।
JFrog के अनुसार, चुराया गया डेटा हमलावरों के कंट्रोल वाले डोमेन पर भेजा गया और GitHub रिपॉजिटरीज़ में एक पर्सिस्टेंस मकैनिज्म के तौर पर कमिट किया गया।
कई क्रिप्टो टीम्स Bitwarden CLI का यूज़ ऑटोमेटेड CI/CD पाइपलाइंस में सीक्रेट्स इंजेक्शन और डिप्लॉइमेंट्स के लिए करती हैं। किसी भी वर्कफ्लो ने, जो ये कॉम्प्रोमाइज़्ड वर्शन चला चुके हैं, उनके हाई-वैल्यू वॉलेट कीज और exchange API क्रेडेंशियल्स एक्सपोज़ हो सकते हैं।
सिक्योरिटी रिसर्चर Adnan Khan ने बताया कि यह पहली बार है जब किसी npm पैकेज को trusted publishing mechanism की मदद से कॉम्प्रोमाइज़ किया गया है, जो लॉन्ग-लिव्ड टोकन को हटाने के लिए डिजाइन किया गया था।
प्रभावित यूज़र्स क्या करें?
Socket राह देता है कि जिसने भी @bitwarden/cli वर्शन 2026.4.0 इंस्टॉल किया है, वे तुरंत सभी एक्सपोज़ हुए सीक्रेट्स को रोटेट करें।
यूज़र्स को वर्शन 2026.3.0 पर डाउनग्रेड करना चाहिए या फिर Bitwarden की वेबसाइट से ऑफिशियल सिग्न्ड बाइनरीज़ का इस्तेमाल करना चाहिए।
TeamPCP ने मार्च 2026 से Trivy, Checkmarx और LiteLLM जैसे टूल्स पर भी ऐसे ही अटैक्स किए हैं, जो डेवलपर टूल्स को टारगेट करते हैं जो बिल्ड पाइपलाइन में गहराई तक होते हैं।
Bitwarden का कोर वॉल्ट पूरी तरह से सुरक्षित है। सिर्फ CLI बिल्ड प्रोसेस ही कॉम्प्रोमाइज़ हुआ है।
