Bitwarden CLI piraté : tes credentials sont en danger
Pourquoi ça compte pour toi
Si tu utilises Bitwarden CLI en dev ou CI/CD, des attaquants ont potentiellement accès à tes secrets les plus sensibles : tokens GitHub, identifiants AWS, clés SSH, tokens npm. C'est pas juste un paquet malveillant, c'est une brèche d'infrastructure qui vise à republier d'autres paquets sous ton compte. Action immédiate requise.
Ce qu'il faut retenir
- 1.Le paquet @bitwarden/cli2026.4.0 sur npm contient du code malveillant (bw1.js) qui vole des identifiants
- 2.Les attaquants récupèrent tes tokens GitHub, AWS, Azure, GCP et npm, puis les utilisent pour republier d'autres paquets
- 3.Même campagne que l'attaque Checkmarx : GitHub Actions compromise, C2 sur audit.checkmarx[.]cx
- 4.Fais pivoter immédiatement tous tes secrets si tu as utilisé cette version
Tu galères avec le jargon ?
Lis la version réécrite en mode débutant — toutes les idées, sans le jargon.
Ce qui s'est passé
Bitwarden CLI (10M+ utilisateurs, 50k+ organisations) a eu sa chaîne de build compromise. Un attaquant a injecté du code malveillant dans le paquet npm via une GitHub Action compromise en arrière-plan. La version affectée : @bitwarden/cli2026.4.0.
Le payload : c'est pas bénin
Le malware bw1.js fait :
- ▸Vol d'identifiants en mémoire : scrape GitHub Actions Runner.Worker pour extraire les tokens
- ▸Extraction de fichiers sensibles :
.npmrc,~/.aws/,~/.ssh/, configs Azure/GCP, fichiers.env - ▸Republication de paquets : utilise les tokens npm volés pour injecter des hooks
preinstalldans d'autres paquets populaires - ▸Exfiltration via GitHub : crée des dépôts publics factices sous ton compte avec des noms inspirés de Dune (
{mot}-{mot}-{3chiffres}), y pousse les données chiffrées, intègre les tokens dans les messages de commit
Comment te protéger
Immédiat (24h) :
- ▸Supprime
@bitwarden/cli2026.4.0de partout (machines de dev, CI/CD, conteneurs) - ▸Fais pivoter tous tes secrets : tokens GitHub, tokens npm, clés AWS, identifiants Azure, identifiants GCP, clés SSH
- ▸Passe en revue les 7 derniers jours de journaux CI/CD pour voir si du code suspect a tourné
Court terme (1 semaine) :
- ▸Cherche les indicateurs sur GitHub : dépôts créés avec des noms inspirés de Dune (
atreides,fremen,harkonnen, etc.) - ▸Vérifie npm : nouvelles versions publiées, hooks dans
package.json, accès à tes paquets - ▸Cloud : audit des accès aux secrets, tokens nouvellement émis, activités suspectes
Long terme :
- ▸Portée minimale sur tes tokens (GitHub : repo+workflow, npm : publication du seul paquet concerné, etc.)
- ▸Identifiants à courte durée de vie dès que possible
- ▸Surveille les workflows GitHub non autorisés
- ▸Bloque les artefacts inutiles en CI/CD
Le truc bizarre
Le payload a du branding idéologique : références à "Shai-Hulud", "Butlerian Jihad" (Dune), messages de commit comme "LongLiveTheResistanceAgainstMachines". C'est soit un groupe dissident, soit une évolution de la campagne Checkmarx originale (qui était plus discrète).
CI/CD compromise = accès total à tes secrets. Pas de demi-mesure ici.
Et concrètement pour toi ?
Choisis ton profil — la lecture de l'article change selon qui tu es.
Pour toi, comprends que les gestionnaires de mots de passe ne sont pas invulnérables : même des outils fiables peuvent être compromis via leur infrastructure. La vraie leçon : rotation régulière des secrets et audit des accès, pas confiance aveugle.
Source
Pour aller plus loin
Cet article t'a donné envie d'approfondir ? Deux formations Noésis t'attendent :
Explorer les thèmes de cet article :