El director de seguridad de la información de Mist informó y reenfocó una advertencia del equipo de seguridad de Bitwarden: la versión 2026.4.0 de Bitwarden CLI, mediante el envío y la publicación a través de npm durante un período de 1.5 horas entre las 5:57 p.m. y las 7:30 p.m. (hora del Este de EE. UU.) del 22 de abril, había sido modificada y se retiró la versión del paquete npm malicioso que fue publicada; Bitwarden confirmó oficialmente que los datos del gestor de contraseñas y los sistemas de producción no se vieron afectados.
Detalles del ataque: objetivo de robo del payload malicioso bw1.js
El payload malicioso se ejecuta en silencio durante la instalación del paquete npm, recopilando los siguientes tipos de datos:
· Tokens de GitHub y npm
· Claves SSH
· Variables de entorno
· Historial de Shell
· Credenciales de la nube
· Documentos de carteras cifradas (incluyendo carteras MetaMask, Phantom y Solana)
Los datos robados se exfiltran a un dominio controlado por el atacante y se envían de forma persistente al repositorio de GitHub. Muchos equipos de criptomonedas usan Bitwarden CLI en flujos de automatización CI/CD para la inyección de claves y el despliegue; cualquier proceso que haya ejecutado una versión comprometida podría filtrar claves de billeteras de alto valor y credenciales de la API de los exchanges.
Pasos de respuesta de emergencia para usuarios afectados
Solo los usuarios que instalaron la versión 2026.4.0 a través de npm dentro de la ventana entre las 5:57 p.m. y las 7:30 p.m. (hora del Este de EE. UU.) del 22 de abril deben tomar las siguientes acciones: desinstalar inmediatamente la versión 2026.4.0; limpiar el caché de npm; rotar todas las credenciales sensibles como los API Token y las claves SSH; revisar actividades anómalas en GitHub y en los procesos CI/CD; actualizar a la versión 2026.4.1 ya corregida (o degradar a 2026.3.0, o descargar los binarios oficiales firmados desde el sitio oficial de Bitwarden).
Antecedentes del ataque: el mecanismo de publicación confiable de npm se explotó por primera vez
El investigador de seguridad Adnan Khan señaló que este ataque es un caso de la primera explotación conocida del mecanismo de publicación confiable de npm para invadir paquetes de software. Este ataque está relacionado con las actividades del ataque de la cadena de suministro TeamPCP; desde marzo de 2026, TeamPCP ha lanzado ataques similares contra herramientas de seguridad como Trivy, la plataforma de seguridad de código Checkmarx y herramientas de IA como LiteLLM, con el objetivo de incrustar herramientas para desarrolladores en el proceso de compilación CI/CD.
Preguntas frecuentes
¿Cómo confirmar si instalé la versión 2026.4.0 afectada?
Ejecute npm list -g @bitwarden/cli para ver las versiones instaladas. Si muestra 2026.4.0 y el tiempo de instalación está entre las 5:57 p.m. y las 7:30 p.m. (hora del Este de EE. UU.) del 22 de abril, se deben tomar medidas de inmediato. Incluso si no está seguro de la hora de instalación, se recomienda rotar activamente todas las credenciales relacionadas.
¿Se filtraron los datos del gestor de contraseñas de Bitwarden?
No. Bitwarden confirmó oficialmente que los datos del gestor de contraseñas de los usuarios y los sistemas de producción no se vieron comprometidos. Este ataque solo afectó el proceso de construcción del CLI; el objetivo del ataque eran credenciales para desarrolladores y documentos de carteras cifradas, no la base de datos de contraseñas de usuarios de la plataforma Bitwarden.
¿Cuál es el trasfondo más amplio de las actividades del ataque de la cadena de suministro TeamPCP?
Desde marzo de 2026, TeamPCP lanzó una serie de ataques contra herramientas para desarrolladores; los objetivos afectados incluyen Trivy, Checkmarx y LiteLLM. El ataque contra Bitwarden CLI es parte de la misma serie de actividades: el objetivo era incrustar herramientas para desarrolladores en el proceso de compilación CI/CD para robar credenciales de alto valor en los canales de automatización.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
El sargento mayor de las fuerzas especiales del ejército de EE. UU. fue arrestado: apostó en Polymarket con información confidencial para la detención de Maduro, obteniendo una ganancia de 400.000 dólares
El Departamento de Justicia de EE. UU. en el Distrito Sur de Nueva York acusa al sargento de las fuerzas especiales del ejército de EE. UU., Gannon Ken Van Dyke, por presuntamente usar información confidencial para apostar en Polymarket sobre el resultado del arresto de Maduro, obteniendo ganancias de aproximadamente 409,881 USD (13 operaciones, del 27-12-2025 al 26-1-2026). Las acusaciones incluyen, entre otras, el uso ilegal de información confidencial, el robo de información no pública, el fraude en transacciones de materias primas, el fraude de transferencias bancarias y transacciones ilegales de dinero. Se trata del primer caso de una acusación federal centrada en el arbitraje entre información privilegiada y mercados de predicción, o que podría influir en el rumbo de la regulación futura.
ChainNewsAbmediaHace19m
La policía española incauta 400.000 € en cripto de una plataforma ilegal de piratería de manga; 3 detenidos
Mensaje de Gate News, 24 de abril — La policía española en Almería incautó dos carteras frías de criptomonedas que contenían aproximadamente 400.000 € durante un registro en la mayor plataforma ilegal de distribución de manga del país. Tres personas fueron arrestadas en relación con la operación, que se inició
GateNewshace1h
Sanciones de la OFAC a un senador camboyano por una red de estafas de criptomonedas
Sanciones de la OFAC al senador camboyano por una red de estafas con criptomonedas
La Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE. UU. (OFAC) ha sancionado al senador camboyano Kok An, quien es acusado de controlar “complejos de estafas” en toda Camboya que han estafado a estadounidenses. La OFAC designó a An y a otros 28
CryptoFrontierhace2h
¡Las sanciones de EE. UU. contra funcionarios camboyanos por un complejo de estafa de cien mil millones! Tether congela más de 344 millones de dólares en USDT
El Departamento del Tesoro y el Departamento de Justicia de Estados Unidos han llevado a cabo recientemente una acción conjunta de aplicación de la ley contra las estafas románticas con “cerdos gordos” de criptomonedas, cada vez más desenfrenadas en el Sudeste Asiático. Oficiales anunciaron formalmente sanciones contra el senador camboyano Loang (Kok An) y 28 personas y entidades dentro de su red criminal, acusándolos de utilizar el poder político y los recintos de sus casinos para dar refugio a actividades a gran escala de estafa y trata de personas. Se estima que estas operaciones de estafa causaron pérdidas de hasta 10.000 millones de dólares al año a los ciudadanos estadounidenses. En coordinación con esta operación de ataque, el emisor de stablecoins Rether también ya ha congelado más de 344 millones de dólares en activos digitales relacionados.
Estafas románticas tipo “cerdo gordo”: las pérdidas de los ciudadanos estadounidenses superan los 10.000 millones de dólares al año
En los últimos años, organizaciones criminales transnacionales con base en el Sudeste Asiático han adoptado en gran cantidad el método de estafa conocido como “Pig Butchering” (engorde y matanza de cerdos). Los estafadores gastan meses en… a través de las redes sociales o aplicaciones de mensajería,
ChainNewsAbmediahace2h
Soldado del Ejército de EE. UU. Arrestado por Usar Inteligencia Clasificada para Apostar por la Captura de Maduro en Polymarket
Mensaje de Gate News, 24 de abril: El Departamento de Justicia de Estados Unidos ha arrestado a un soldado del Ejército en servicio activo, Gannon Ken Van Dyke, de 38 años, acusado de usar información confidencial para hacer apuestas en Polymarket, un mercado de predicciones, sobre la captura del ex presidente venezolano Nicolás Maduro. Van Dyke participó
GateNewshace2h
