Pembajakan paket npm Bitwarden CLI – ditemukan serangan pencurian kredensial pengembang skala besar

 (research.jfrog.com)
6 poin oleh darjeeling 2026-04-23 | 5 komentar | Bagikan ke WhatsApp

Tim riset keamanan JFrog menemukan bahwa npm @bitwarden/cli versi 2026.4.0 telah dibajak. Sambil mempertahankan metadata dan branding Bitwarden yang sah apa adanya, hanya skrip preinstall dan entry point biner bw yang diganti dengan loader berbahaya (bw_setup.js).

Cara kerja

Saat instalasi, loader terlebih dahulu mengunduh runtime Bun dari GitHub, lalu menjalankan payload JavaScript yang diobfuscate (bw1.js). Penggunaan Bun alih-alih Node.js itu sendiri merupakan strategi untuk menghindari deteksi.

Payload tersebut secara luas mengumpulkan kredensial dari workstation pengembang dan lingkungan CI melalui tiga kolektor.

  • Kolektor sistem file: kunci SSH (~/.ssh/), kredensial Git (.git-credentials), token npm (~/.npmrc), .env, kredensial AWS (~/.aws/credentials), kredensial GCP (~/.config/gcloud/credentials.db) dan lain-lain
  • Kolektor shell/lingkungan: menjalankan perintah gh auth token, pencocokan pola token GitHub dan npm melalui pemindaian process.env
  • Kolektor GitHub Actions: menyuntikkan workflow ke repo yang memiliki izin token untuk mengekstrak secret Actions juga
Iklan

Yang terutama patut diperhatikan adalah bahwa alat AI dan file konfigurasi MCP seperti ~/.claude.json, ~/.claude/mcp.json, ~/.kiro/settings/mcp.json juga termasuk dalam target pengumpulan.

Jalur eksfiltrasi ganda

Data yang dicuri dikirim setelah melalui kompresi gzip dan enkripsi hibrida AES-256-GCM + RSA-OAEP.

  • Jalur utama: HTTPS POST ke audit.checkmarx.cx/v1/telemetry (menyamar sebagai layanan keamanan yang sah)
  • Jalur kedua (penyalahgunaan GitHub): jika jalur utama gagal, malware mencari dan mengekstrak PAT yang di-encode Base64 ganda dengan marker LongLiveTheResistanceAgainstMachines dari pesan commit GitHub. Melalui marker beautifulcastle dan verifikasi tanda tangan RSA, domain eksfiltrasi alternatif juga dipulihkan secara dinamis. Pada akhirnya, malware membuat repo baru di akun GitHub korban dan mengunggah JSON terenkripsi ke direktori results/.
Iklan

Identifikasi infeksi

Metadata Bitwarden CLI sah yang tertanam adalah 2026.3.0, tetapi root paket ditandai sebagai 2026.4.0, sehingga dianalisis bahwa lapisan berbahaya ditambahkan dari luar, bukan melalui pipeline build yang sah.

Cara merespons

Jika ada riwayat instalasi versi tersebut, semua kredensial pada host terkait harus dianggap telah bocor.

  • npm uninstall -g @bitwarden/cli dan bersihkan cache
  • Rotasi penuh GitHub PAT, token npm, dan access key AWS
  • Periksa log audit Azure Key Vault / GCP Secret Manager
  • Tinjau riwayat eksekusi tidak sah di workflow GitHub Actions
  • Blokir jaringan ke audit.checkmarx.cx dan 94.154.172.43
  • Verifikasi apakah informasi sensitif dalam file konfigurasi alat AI (Claude, Kiro, dll.) ikut terekspos

Ini adalah serangan canggih yang menggabungkan kompromi rantai pasok, pencurian secret multi-tahap, dan persenjataan infrastruktur GitHub, melampaui pencuri kredensial npm biasa.

Bacaan terkait

5 komentar

 
onlyforyou 2026-04-30

Coba gunakan Enpass, saya merekomendasikannya
 
savvykang 2026-04-24

THE MOST TRUSTED PASSWORD MANAGER
Defend against hackers and data breaches

Saya keluar karena tagline di situs perusahaan terasa tidak ada artinya.
 
t7vonn 2026-04-24

Seram banget;; saya memakainya setiap hari, dan untungnya yang lewat Homebrew tidak ikut dicuri.
Huh… sepertinya semua library npm global untuk sementara harus dihapus, atau pre/postinstall harus dimatikan.
 
lamanus 2026-04-24

Homebrew kini berubah dengan menonaktifkan postinstall secara default dan hanya mengizinkannya sebagai pengecualian. Entah harus dibilang beruntung atau tidak, karena saya memperbarui lewat tag repo tanpa melihat npm, versi kali ini jadi terlewat. Belakangan juga ada masa cooldown di npm, jadi kemungkinan besar bahkan kalau saya mengacu ke npm pun rilis itu tidak akan terdistribusi.
 
sanghunka 2026-04-23

Wah, ini cukup mengejutkan.