Bitwarden CLI piraté : tes credentials sont en danger
Pourquoi ça compte pour toi
Si tu utilises Bitwarden CLI en dev ou CI/CD, des attaquants ont potentiellement accès à tes secrets les plus sensibles : tokens GitHub, credentials AWS, clés SSH, tokens npm. C'est pas juste un paquet malveillant, c'est une brèche d'infrastructure qui vise à republier d'autres packages sous ton compte. Action immédiate requise.
Ce qu'il faut retenir
- 1.Le paquet @bitwarden/cli2026.4.0 sur npm contient du code malveillant (bw1.js) qui vole credentials
- 2.Les attaquants récupèrent tes tokens GitHub, AWS, Azure, GCP et npm, puis les utilisent pour republier d'autres packages
- 3.Même campagne que l'attaque Checkmarx : GitHub Actions compromise, C2 sur audit.checkmarx[.]cx
- 4.Rotate immédiatement tous tes secrets si tu as utilisé cette version
## Ce qui s'est passé
Bitwarden CLI (10M+ users, 50k+ orgs) a eu sa chaîne de build compromise. Un attaquant a injecté du code malveillant dans le paquet npm via une GitHub Action backdoorisée. La version affectée : `@bitwarden/cli2026.4.0`.
## Le payload : c'est pas bénin
Le malware `bw1.js` fait :
1. **Vol de credentials en mémoire** : scrape GitHub Actions Runner.Worker pour extraire les tokens 2. **Extraction de fichiers sensibles** : `.npmrc`, `~/.aws/`, `~/.ssh/`, configs Azure/GCP, fichiers `.env` 3. **Republication de packages** : utilise les tokens npm volés pour injecter des hooks `preinstall` dans d'autres packages populaires 4. **Exfiltration via GitHub** : crée des repos publics factices sous ton compte avec des noms Dune-themed (`{mot}-{mot}-{3chiffres}`), y commit les données chiffrées, embed les tokens dans les messages
## Comment te protéger
**Immédiat (24h) :** - Supprime `@bitwarden/cli2026.4.0` de partout (dev machines, CI/CD, containers) - Rotate **tous** tes secrets : GitHub tokens, npm tokens, AWS keys, Azure creds, GCP creds, SSH keys - Revue les 7 derniers jours de logs CI/CD pour voir si du code suspect a tournée
**Court terme (1 semaine) :** - Chasse les indicators sur GitHub : repos créés avec noms Dune (`atreides`, `fremen`, `harkonnen`, etc.) - Vérifie npm : nouvelles versions publiées, hooks dans `package.json`, accès à tes packages - Cloud : audit des accès aux secrets, tokens nouvellement émis, activités suspectes
**Long terme :** - Scope minimal sur tes tokens (GitHub : repo+workflow, npm : publish seul package, etc.) - Credentials short-lived quand possible - Surveille les workflows GitHub non autorisés - Bloque les artifacts inutiles en CI/CD
## Le truc bizarre
Le payload a du branding idéologique : refs à "Shai-Hulud", "Butlerian Jihad" (Dune), commit messages comme "LongLiveTheResistanceAgainstMachines". C'est soit un splinter group, soit une évolution de la campagne Checkmarx originale (qui était plus discrète).
Ci/CD compromise = accès total à tes secrets. Pas de demie-mesure ici.
Source