● Next INpact Télécom 📅 23/04/2026 à 18:36

Géopolitique 👤 Martin Clavey

🏷️ Tags : chine cve llm pm rte stoc

La saga continue : un paquet NPM vérolé de Bitwarden CLI a dérobé des secrets Dominos Illustration : Flock Martin Clavey Le 23 avril à 18h36 Le paquet NPM du CLI de Bitwarden publié comme la version 2026.4.0 est en fait un malware qui récupère les secrets, clés SSH et autres identifiants. Cette version a été rapidement étiquetée comme « obsolète » et l’équipe du projet a contacté NPM pour que le paquet soit retiré au plus vite. Une erreur ? Dans la série des attaques de la supply chain, on continue. Après Trivy, LiteLLM, Axios et hier Xinference, on ajoute aujourd’hui le client en ligne de commande du gestionnaire de mots de passe Bitwarden. Cette fois, c’est le paquet NPM (Node Package Manager) du CLI qui a été visé avec l’utilisation du numéro de version 2026.4.0, la légitime dernière version 2026.3.0 ayant été publiée il y a trois semaines. L’alerte vient de l’équipe de l’entreprise de sécurité JFrog. Prévenue par un utilisateur, l’équipe de Bitwarden a répondu avoir bien constaté le problème : « Nous avons depuis étiqueté comme « obsolète » cette version et contacté NPM pour qu’elle soit supprimée ». Aucun autre paquet ou application/extension de Bitwarden ne semble compromis, pas plus que les coffres-forts des utilisateurs. De fait, expliquent les chercheurs de JFrog, le paquet vérolé utilise les mêmes métadonnées dans le fichier build/bw.js que la 2026.3.0 du paquet, mais elle renvoie le fichier preinstall et le binaire bw vers un script bw_setup.js. Celui-ci vérifie d’abord si l’environnement d’exécution JavaScript Bun est installé et en récupère une version si ce n’est pas le cas. Encore une récupération des secrets, avec un traitement spécial pour GitHub Suite à ça, le paquet verolé peut lancer l’attaque via l’exécution du fichier bw1.js. Celui-ci cible des fichiers de configuration utilisés par les développeurs pour stocker des informations comme les clés SSH, les identifiants Git, NPM, AWS, Google Cloud Platform, ou encore les fichiers de configuration de l’IA Claude ou de celle de Kiro. Concernant GitHub, le paquet pirate va plus loin. D’abord, il vérifie que les identifiants sont bons via https://api.github.com/user. Ensuite, il va essayer d’extraire davantage d’informations confidentielles hébergées sur GitHub. Concernant l’exfiltration, le paquet vérolé a deux méthodes possibles. Soit il exfiltre les données via une requête POST après les avoir sérialisées dans un JSON, compressées et chiffrées. Si cette méthode ne fonctionne pas, il peut utiliser GitHub pour stocker dans un nouveau dépôt les blobs JSON des données récupérées. Pour celles et ceux qui auraient installé cette fausse version 2026.4.0 du CLI de Bitwarden, il faut partir du principe que les identifiants des outils cités ci-dessus sont compromis, explique JFrog. Il faut donc d’abord désinstaller le paquet NPM @bitwarden/cli et renouveler les secrets susceptibles d’avoir été compromis. Voici les commande proposées (la dernière permet d’empêcher l’exécution automatique de scripts à l’installation de paquets) : npm uninstall -g @bitwarden/cli npm cache clean --force npm config set ignore-scripts true Pour chercher des traces du piratage et du téléchargement de Bun, voici deux commandes proposées par Jfrog. Si vous avez des résultats, alors inquiétez-vous. rg -n "audit\\.checkmarx\\.cx|LongLiveTheResistanceAgainstMachines|beautifulcastle" . ls -la bun bun.exe bw1.js bw_setup.js 2>/dev/null Encore TeamPCP ? Dans le titre de son billet sur cette attaque, JFrog l’attribue rapidement au groupe de pirates TeamPCP qui serait aussi responsable de celle contre Xinference. Mais son équipe ne donne aucune information qui pourrait permettre d’identifier le groupe. Sur X, le compte « officiel » de TeamPCP a été suspendu. De son côté, Socket estime que « ce paquet a été compromis lors de ce qui semble être une nouvelle attaque de TeamPCP ». « L’attaque semble avoir exploité une action GitHub compromise dans le pipeline CI/CD de Bitwarden, ce qui correspond au schéma observé dans d’autres dépôts touchés par cette campagne », explique d’ailleurs Socket qui ajoute que cette attaque se place dans la continuité de celle que l’entreprise a découverte hier sur la supply chain Checkmarx de KICS. Dans un message, l’équipe de Bitwarden a confirmé avoir identifié que cette version vérolée du paquet a été distribuée pendant environ 1h30 ce mercredi 22 avril et qu’elle se situait « dans le cadre d’un incident plus général affectant la supply chain de Checkmarx ». Sécurité Hackerbot-claw : un bot exploite GitHub Actions et vide le dépôt de Trivy Sécurité Mardi 03 mars 2026 à 14h47 03/03/2026 14h47 13 Elle explique que son enquête « n’a révélé aucun élément indiquant que les données du coffre-fort des utilisateurs finaux aient été consultées ou aient été exposées à un risque, ni que les données ou les systèmes de production aient été compromis. Dès que le problème a été détecté, les accès compromis ont été révoqués, la version malveillante de npm a été retirée, et des mesures correctives ont été immédiatement mises en œuvre ». « Bitwarden a mené à bien un examen de ses environnements internes, de ses processus de déploiement et des systèmes associés, et aucun autre produit ou environnement affecté n’a été identifié à ce stade. Un CVE concernant la version 2026.4.0 de Bitwarden CLI est en cours d’émission dans le cadre de cet incident », ajoute l’équipe. Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant. Accédez en illimité aux articles d'un média expert Profitez d'au moins 1 To de stockage pour vos sauvegardes Intégrez la communauté et prenez part aux débats Partagez des articles premium à vos contacts Abonnez-vous phil27 Premium À l'instant Message 1 Signaler Bloquer cet utilisateur Je vais crois que je vais continuer encore quelques temps à utiliser mes mots de passes générés à la main finalement. Signaler un commentaire Voulez-vous vraiment signaler ce commentaire ? Non Oui

🔗 Lire l'article original 👁️ 2 lectures