Bitwarden CLI paket npm berbahaya terungkap, dompet kripto menghadapi risiko pencurian

Kepala Keamanan Informasi (Chief Information Security Officer) Mist 23pds meneruskan peringatan dari tim keamanan Bitwarden. Versi Bitwarden CLI 2026.4.0 yang telah digunakan untuk mengubah paket berbahaya yang dipublikasikan melalui npm dalam rentang waktu 1,5 jam pada 22 April pukul 5:57 hingga 7:30 waktu ET telah ditarik kembali. Bitwarden secara resmi mengonfirmasi bahwa data brankas sandi (password vault) dan sistem produksi tidak terpengaruh.

Rincian serangan: target pencurian dari muatan berbahaya bw1.js

Muatannya berjalan secara diam-diam selama pemasangan paket npm, mengumpulkan jenis data berikut:

· Token GitHub dan npm

· Kunci SSH

· Variabel lingkungan

· Riwayat shell

· Kredensial cloud

· Dokumen dompet kripto (termasuk dompet MetaMask, Phantom, dan Solana)

Data yang dicuri kemudian dibocorkan ke domain yang dikendalikan penyerang, dan dikirim ke repositori GitHub melalui mekanisme persistensi. Banyak tim mata uang kripto menggunakan Bitwarden CLI dalam proses otomatisasi CI/CD untuk injeksi kunci dan penerapan. Setiap proses yang menjalankan versi yang telah disusupi berpotensi membocorkan kunci dompet bernilai tinggi dan kredensial API bursa.

Langkah respons darurat untuk pengguna yang terdampak

Hanya pengguna yang memasang versi 2026.4.0 melalui npm dalam jendela waktu 22 April pukul 5:57 hingga 7:30 waktu ET perlu mengambil tindakan berikut: segera hapus instalan versi 2026.4.0; bersihkan cache npm; rotasi semua kredensial sensitif seperti semua API Token dan kunci SSH; periksa aktivitas tidak normal pada GitHub dan alur CI/CD; tingkatkan ke versi 2026.4.1 yang sudah diperbaiki (atau turunkan ke 2026.3.0, atau unduh file biner resmi yang ditandatangani dari situs resmi Bitwarden).

Latar belakang serangan: mekanisme publikasi tepercaya npm pertama kali dimanfaatkan

Peneliti keamanan Adnan Khan menyatakan bahwa serangan kali ini adalah kasus pertama yang diketahui di mana mekanisme publikasi tepercaya npm disusupi. Serangan ini terkait dengan aktivitas serangan rantai pasokan TeamPCP. Sejak bulan Maret 2026, TeamPCP telah melancarkan serangan serupa terhadap alat keamanan Trivy, platform keamanan kode Checkmarx, dan alat AI LiteLLM, dengan target alat pengembang yang disematkan dalam proses build CI/CD.

Pertanyaan yang sering diajukan

Bagaimana cara memastikan apakah saya telah memasang versi 2026.4.0 yang terdampak?

Jalankan npm list -g @bitwarden/cli untuk melihat versi yang terpasang. Jika menampilkan 2026.4.0 dan waktu pemasangan berada di antara 22 April pukul 5:57 hingga 7:30 waktu ET, lakukan tindakan respons segera. Meski tidak yakin dengan waktu pemasangan, disarankan untuk secara proaktif merotasi semua kredensial terkait.

Apakah data brankas sandi Bitwarden bocor?

Tidak. Bitwarden secara resmi mengonfirmasi bahwa data brankas sandi pengguna dan sistem produksi tidak mengalami kerusakan. Serangan ini hanya memengaruhi proses build untuk CLI; target serangannya adalah kredensial pengembang dan dokumen dompet kripto, bukan database sandi pengguna di platform Bitwarden.

Apa latar belakang yang lebih luas dari aktivitas serangan rantai pasokan TeamPCP?

TeamPCP sejak Maret 2026 melancarkan serangkaian serangan rantai pasokan terhadap alat pengembang, dengan target yang mencakup Trivy, Checkmarx, dan LiteLLM. Serangan terhadap Bitwarden CLI ini adalah bagian dari rangkaian aktivitas yang sama, dengan target berupa alat pengembang yang disematkan dalam proses build CI/CD, untuk mencuri kredensial bernilai tinggi dalam pipeline otomatis.