Angreifer haben die CLI-Version 2026.4.0 des Passwortmanagers Bitwarden durch eine kompromittierte GitHub Action übernommen und ein schädliches npm-Paket veröffentlicht, das aktiv Daten von Krypto-Wallets und Entwickler-Zugangsdaten stiehlt.
Die Sicherheitsfirma Socket entdeckte den Angriff am 23. April und stellte eine Verbindung zur laufenden TeamPCP-Lieferketten-Kampagne her. Die schädliche npm-Version wurde inzwischen entfernt.
Schadsoftware zielt auf Krypto-Wallets und CI/CD-Geheimnisse
Die schädliche Nutzlast, die sich in einer Datei mit dem Namen bw1.js befand, lief während der Paketinstallation und suchte gezielt nach Dateien von Krypto-Wallets, privaten Schlüsseln, Seed-Phrasen und Daten von Browser-Erweiterungen für Wallets wie gesammelt.
Laut JFrog wurden die gestohlenen Daten an von Angreifern kontrollierte Domains übertragen und als Mechanismus zur Persistenz wieder in GitHub-Repositories eingespielt.
Viele Krypto-Teams verwenden das Bitwarden CLI in automatisierten CI/CD-Pipelines für das Einfügen von Geheimnissen und Deployments. Alle Workflows, die die kompromittierte Version ausführten, könnten wertvolle Wallet-Schlüssel und API-Zugangsdaten für Börsen offengelegt haben.
Sicherheitsforscher Adnan Khan merkte an, dass dies die erste bekannte Kompromittierung eines Pakets ist, das den vertrauenswürdigen Veröffentlichungsmechanismus von npm nutzt, der eigentlich für den Verzicht auf langlebige Token ausgelegt war.
Was betroffene Nutzer tun sollten
Socket von Bitwarden wechseln.
TeamPCP hat seit März 2026 vergleichbare Angriffe gegen Trivy, Checkmarx und LiteLLM durchgeführt, die .
