ผู้โจมตีได้เข้าควบคุม Bitwarden เวอร์ชัน CLI 2026.4.0 ผ่าน GitHub Action ที่ถูกแทรกซึม โดยได้เผยแพร่แพ็กเกจ npm ที่เป็นอันตรายและสามารถขโมยข้อมูลกระเป๋าเงินคริปโต รวมถึงข้อมูลประจำตัวของนักพัฒนาอย่างต่อเนื่อง
บริษัทความปลอดภัย Socket ได้ค้นพบการละเมิดเมื่อวันที่ 23 เมษายน และเชื่อมโยงกับแคมเปญโจมตีซัพพลายเชน TeamPCP ขณะนี้เวอร์ชัน npm ที่เป็นอันตรายได้ถูกถอดออกแล้ว
มัลแวร์ตัวนี้เสี่ยงต่อการโจมตีกระเป๋าเงินคริปโตและความลับใน CI/CD
เพย์โหลดที่เป็นอันตรายซึ่งฝังอยู่ในไฟล์ชื่อ bw1.js จะทำงานขณะติดตั้งแพ็กเกจ และเก็บโทเคน GitHub และ npm, กุญแจ SSH, ตัวแปรแวดล้อม, ประวัติ shell และข้อมูลลงชื่อเข้าใช้คลาวด์
แคมเปญของ TeamPCP ได้รับการยืนยันอย่างแยกต่างหากว่ามุ่งเป้าโจมตีข้อมูลกระเป๋าคริปโต เช่น ไฟล์ MetaMask, Phantom และ Solana wallet
ตามข้อมูลของ JFrog ข้อมูลที่ถูกขโมยได้ถูกส่งออกไปยังโดเมนที่ควบคุมโดยผู้โจมตีและถูก commit คืนไปที่ repository บน GitHub เป็นกลไกเพื่อดำรงอยู่ต่อไป ของผู้โจมตี
หลายทีมคริปโตใช้ Bitwarden CLI ในระบบอัตโนมัติ CI/CD เพื่อ inject secret และ deploy ดังนั้นเวิร์กโฟลว์ใดที่รันเวอร์ชันที่ถูกแทรกซึม อาจเปิดเผยกุญแจกระเป๋ามูลค่าสูงและ ข้อมูล API ของ exchange
Adnan Khan นักวิจัยด้านความปลอดภัยระบุว่านี่เป็นแพ็กเกจแรกที่ถูกโจมตีผ่าน trusted publishing mechanism ของ npm ซึ่งแต่แรกออกแบบมาเพื่อกำจัดโทเคนที่มีอายุยาว
แนวทางสำหรับผู้ใช้งานที่ได้รับผลกระทบ
Socket แนะนำว่าผู้ที่ติดตั้ง @bitwarden/cli เวอร์ชัน 2026.4.0 ควรหมุนเปลี่ยน secret ทุกตัวที่ถูกเปิดเผยโดยทันที
ผู้ใช้ควรดาวน์เกรดไปเวอร์ชัน 2026.3.0 หรือเปลี่ยนไปใช้ไฟล์ไบนารี signed อย่างเป็นทางการที่เว็บไซต์ Bitwarden
TeamPCP ได้โจมตีแบบเดียวกันนี้กับ Trivy, Checkmarx และ LiteLLM ตั้งแต่เดือนมีนาคม 2026 โดยมุ่งเป้าใส่เครื่องมือสำหรับนักพัฒนาที่มีบทบาทสำคัญในกระบวนการ build
Core vault ของ Bitwarden ไม่ได้รับผลกระทบ มีเพียงกระบวนการ build ของ CLI เท่านั้นที่ถูกแทรกซึม
