Durante 93 minutos, instalar la CLI 'oficial' de Bitwarden convirtió los portátiles en Launchpads para secuestrar cuentas de GitHub
El 22 de abr., una versión maliciosa de la interfaz de línea de comandos de Bitwarden apareció en npm bajo el nombre oficial del paquete @bitwarden/cli@2026.4.0. Durante 93 minutos, cualquiera que descargara el CLI a través de npm recibió un sustituto con puerta trasera de la herramienta legítima.
Bitwarden detectó el compromiso, eliminó el paquete y emitió un comunicado indicando que no encontró evidencia de que los atacantes accedieran a los datos del vault del usuario final o comprometieran los sistemas de producción.
La firma de investigación de seguridad JFrog analizó el payload malicioso y descubrió que no tenía ningún interés particular en los vaults de Bitwarden. Su objetivo eran los tokens de GitHub, tokens de npm, claves SSH, historial de shell, credenciales de AWS, credenciales de GCP, credenciales de Azure, secretos de GitHub Actions y archivos de configuración de herramientas de IA.
Estas son credenciales que gobiernan cómo los equipos construyen, despliegan y acceden a su infraestructura.
| Secreto / tipo de datos objetivo | Dónde suele residir | Por qué importa operacionalmente |
|---|---|---|
| Tokens de GitHub | Portátiles de desarrolladores, configuración local, entornos CI | Pueden habilitar el acceso a repositorios, abuso de flujos de trabajo, listado de secretos y movimiento lateral a través de la automatización |
| Tokens de npm | Configuración local, entornos de lanzamiento | Pueden usarse para publicar paquetes maliciosos o alterar los flujos de lanzamiento |
| Claves SSH | Máquinas de desarrolladores, hosts de compilación | Pueden abrir el acceso a servidores, repositorios internos e infraestructura |
| Historial de shell | Máquinas locales | Pueden revelar secretos pegados, comandos, nombres de host internos y detalles del flujo de trabajo |
| Credenciales de AWS | Archivos de configuración local, variables de entorno, secretos de CI | Pueden exponer cargas de trabajo en la nube, almacenamiento y sistemas de despliegue |
| Credenciales de GCP | Archivos de configuración local, variables de entorno, secretos de CI | Pueden exponer proyectos en la nube, servicios y pipelines de automatización |
| Credenciales de Azure | Archivos de configuración local, variables de entorno, secretos de CI | Pueden exponer infraestructura en la nube, sistemas de identidad y rutas de despliegue |
| Secretos de GitHub Actions | Entornos CI/CD | Pueden dar acceso a la automatización, salidas de compilación, despliegues y secretos downstream |
| Herramientas de IA / archivos de configuración | Directorios de proyectos, entornos de desarrollo local | Pueden exponer Claves API, endpoints internos, configuraciones de modelos y credenciales relacionadas |
Bitwarden da servicio a más de 50.000 empresas y 10 millones de usuarios, y su propia documentación describe el CLI como una forma "potente y completa" de acceder y gestionar el vault, incluso en flujos de trabajo automatizados que se autentican mediante variables de entorno.
Bitwarden indica npm como el método de instalación más sencillo y preferido para los usuarios ya familiarizados con el registro. Esa combinación de uso en automatización, instalación en máquinas de desarrolladores y distribución oficial por npm sitúa al CLI exactamente donde suelen residir los secretos de infraestructura de alto valor.
El análisis de JFrog muestra que el paquete malicioso redirigió tanto el hook de preinstalación como el punto de entrada del binario bw hacia un cargador que descargaba el runtime Bun y lanzaba un payload ofuscado. El compromiso se activa en el momento de la instalación y en tiempo de ejecución.
Una organización podría ejecutar el CLI con puerta trasera sin tocar ninguna contraseña almacenada mientras el malware recopilaba sistemáticamente las credenciales que gobiernan sus pipelines de CI, cuentas en la nube y automatización de despliegue.
La firma de seguridad Socket afirma que el ataque parece haber explotado una GitHub Action comprometida en el pipeline CI/CD de Bitwarden, lo que es coherente con un patrón que los investigadores de Checkmarx han estado rastreando.
Bitwarden confirmó que el incidente está relacionado con la campaña de cadena de suministro más amplia de Checkmarx.
El cuello de botella de la confianza
Npm construyó su modelo de publicación de confianza para abordar exactamente esta clase de riesgo.
Al reemplazar los tokens de publicación npm de larga duración con autenticación CI/CD basada en OIDC, el sistema elimina uno de los caminos más comunes que los atacantes utilizan para secuestrar los lanzamientos del registro, y npm recomienda la publicación de confianza y la trata como un paso significativo hacia adelante.
La superficie más difícil es la propia lógica de lanzamiento, como los flujos de trabajo y las acciones que invocan el paso de publicación. La propia documentación de npm recomienda controles más allá de OIDC, como entornos de despliegue con requisitos de aprobación manual, reglas de protección de etiquetas y restricciones de ramas.
| Capa en la cadena de confianza | Lo que se supone que garantiza | Lo que aún puede salir mal |
|---|---|---|
| Repositorio de código fuente | La base de código prevista existe en el repositorio esperado | Los atacantes puede que nunca necesiten alterar directamente la base de código principal |
| Flujo de trabajo CI/CD | Automatiza la compilación y el lanzamiento desde el repositorio | Si se compromete, puede producir y publicar un artefacto malicioso |
| GitHub Actions / lógica de lanzamiento | Ejecuta los pasos que compilan y publican el software | Una acción envenenada o un flujo de trabajo abusado puede convertir una ruta de lanzamiento legítima en maliciosa |
| Publicación de confianza OIDC | Reemplaza los tokens de registro de larga duración con autenticación basada en identidad de corta duración | Demuestra que un flujo de trabajo autorizado publicó el paquete, no que el propio flujo de trabajo fuera seguro |
| Ruta de paquete oficial de npm | Distribuye software bajo el nombre de paquete esperado | Los usuarios aún pueden recibir malware si la ruta de publicación oficial está comprometida |
| Máquina de desarrollador / runner de CI | Consume el paquete oficial | El malware en tiempo de instalación o ejecución puede recopilar secretos locales, en la nube y de automatización |
La configuración de entornos de GitHub permite a las organizaciones requerir la aprobación de revisores antes de que un flujo de trabajo pueda desplegarse. El framework SLSA va más allá al pedir a los consumidores que verifiquen que la procedencia coincide con los parámetros esperados, como el repositorio correcto, la rama, la etiqueta, el flujo de trabajo y la configuración de compilación.
El incidente de Bitwarden muestra que el problema más difícil reside en la capa del flujo de trabajo. Si un atacante puede explotar el propio flujo de trabajo de lanzamiento, la insignia "oficial" sigue acompañando al paquete malicioso.
La publicación de confianza traslada la carga de confianza hacia arriba, hacia la integridad de los flujos de trabajo y las acciones que la invocan, una capa que las organizaciones han dejado en gran medida sin examinar.
Un token para muchas puertas
Para los equipos de desarrollo e infraestructura, un flujo de trabajo de lanzamiento comprometido expone los pipelines de CI, la infraestructura de automatización y las credenciales que los gobiernan.
El análisis de JFrog muestra que una vez que el malware obtuvo un token de GitHub, podía validar el token, enumerar repositorios con permisos de escritura, listar los secretos de GitHub Actions, crear una rama, confirmar un flujo de trabajo, esperar a que se ejecutara, descargar los artefactos resultantes y luego limpiar.
Obtener el token crea una cadena automatizada que transforma una única credencial robada en acceso persistente a través de la infraestructura de automatización de una organización.
El portátil de un desarrollador que instala un paquete oficial envenenado se convierte en un puente desde el almacén de credenciales local del host hasta el acceso a GitHub y a todo lo que ese token de GitHub pueda alcanzar.
El incidente de Bybit es una analogía estructural cercana. Una estación de trabajo de desarrollador comprometida permitió a los atacantes envenenar una interfaz upstream de confianza, que luego alcanzó el proceso operativo de la víctima.
La diferencia es que Bybit implicó una interfaz web de Safe manipulada, mientras que Bitwarden implicó un paquete npm oficial manipulado.
En entornos de criptomonedas, fintech o custodia, ese camino puede ir desde un almacén de credenciales hasta los firmantes de lanzamientos, el acceso a la nube y los sistemas de despliegue sin tocar nunca una entrada del vault.
En 60 días, Checkmarx reveló flujos de trabajo de GitHub Actions comprometidos y plugins de OpenVSX, mientras que la Cloud Security Alliance advirtió que la campaña TeamPCP estaba comprometiendo activamente proyectos de código abierto y componentes de automatización CI/CD.
JFrog documentó cómo una GitHub Action de Trivy comprometida exfiltró el token de publicación de LiteLLM y habilitó lanzamientos maliciosos en PyPI, y Axios reveló que dos versiones maliciosas de npm circularon durante aproximadamente tres horas a través de una cuenta de mantenedor comprometida.
Sonatype contabilizó más de 454.600 nuevos paquetes maliciosos solo en 2025, elevando el total acumulado a más de 1,2 millones. Bitwarden se suma a una cadena de incidentes que confirma los flujos de trabajo de lanzamiento y los registros de paquetes como la superficie de ataque principal.
| Fecha / período | Incidente | Punto de confianza comprometido | Por qué importa |
|---|---|---|---|
| 23 de mar. de 2026 | Checkmarx reveló flujos de trabajo de GitHub Actions comprometidos y plugins de OpenVSX | Flujos de trabajo de GitHub Actions, distribución de herramientas para desarrolladores | Muestra a atacantes dirigiéndose a la automatización upstream y a los canales de herramientas de confianza |
| Dentro de la misma ventana de campaña | Cadena Trivy / LiteLLM documentada por JFrog | GitHub Action comprometida que condujo al robo de tokens y lanzamientos maliciosos en PyPI | Demuestra cómo un componente de automatización envenenado puede desencadenar el abuso de publicación de paquetes |
| 31 de mar. de 2026 | Versiones npm maliciosas de Axios | Cuenta de mantenedor comprometida | Muestra que los nombres de paquetes oficiales pueden convertirse en vectores de ataque mediante el compromiso a nivel de cuenta |
| 22 de abr. de 2026 | Lanzamiento npm malicioso del CLI de Bitwarden | Ruta de distribución oficial de npm para una herramienta de seguridad | Muestra que un paquete de confianza puede exponer secretos de infraestructura sin tocar el contenido del vault |
| Total de 2025 | Recuento de malware de Sonatype | Ecosistema de paquetes de código abierto en general | Indica la escala de la actividad de paquetes maliciosos y por qué la confianza en el registro es ahora un riesgo estratégico |
La causa raíz precisa aún no es pública, ya que Bitwarden ha confirmado una conexión con la campaña de Checkmarx pero no ha publicado un desglose detallado de cómo el atacante obtuvo acceso al pipeline de lanzamiento.
Los resultados del ataque
El resultado más sólido para los defensores es que este incidente acelera una redefinición de lo que significa "oficial".
Hoy en día, la publicación de confianza adjunta datos de procedencia a cada paquete lanzado, confirmando así la identidad del editor en el registro. SLSA documenta explícitamente un estándar más alto para que los verificadores comprueben si la procedencia coincide con el repositorio, la rama, el flujo de trabajo y los parámetros de compilación esperados.
Si ese estándar se convierte en el comportamiento predeterminado del consumidor, "oficial" comienza a significar "construido por el flujo de trabajo correcto bajo las restricciones correctas", y un atacante que compromete una acción pero no puede satisfacer todas las restricciones de procedencia produce un paquete que los consumidores automatizados rechazan antes de que llegue.
El camino más plausible a corto plazo va en la dirección opuesta. Los atacantes han demostrado en al menos 4 incidentes en 60 días que los flujos de trabajo de lanzamiento, las dependencias de acciones y las credenciales adyacentes a los mantenedores producen resultados de alto valor con una fricción relativamente baja.
Cada incidente sucesivo añade otra técnica documentada a un manual público de compromiso de acciones, robo de tokens de la salida de CI, secuestro de cuentas de mantenedor y abuso de la ruta de publicación de confianza.
A menos que la verificación de procedencia se convierta en el comportamiento predeterminado del consumidor en lugar de una capa de política opcional, los nombres de paquetes oficiales tendrán más confianza de la que sus procesos de lanzamiento pueden justificar.
The post For 93 minutes, installing Bitwarden's 'official' CLI turned laptops into launchpads for hijacking GitHub accounts appeared first on CryptoSlate.
También te puede interesar
Newmont (NEM) sube en bolsa gracias a sólidos resultados del Q1 y una masiva autorización de recompra de acciones
El precio de Ethereum se mantiene en $2,325 mientras una Ballena abre una posición larga de $90 millones. ¿Puede ETH romper los $3,000?
