Paket npm Bitwarden CLI Disusupi untuk Curi Kredensial Pengembang

Antarmuka baris perintah (CLI) Bitwarden sempat disusupi setelah aktor ancaman berhasil mengunggah paket @bitwarden/cli berbahaya ke repositori npm. Paket palsu tersebut berisi muatan pencuri kredensial yang bahkan mampu menyebar secara mandiri ke proyek-proyek lain.

Berdasarkan laporan investigasi dari perusahaan keamanan Socket, JFrog, dan OX Security, paket berbahaya tersebut didistribusikan sebagai versi 2026.4.0 dan sempat beredar luas antara pukul 17:57 hingga 19:30 ET pada tanggal 22 April 2026, sebelum akhirnya dihapus secara paksa.

Respons Bitwarden: Brankas Pengguna Tetap Aman

Bitwarden dengan cepat mengonfirmasi insiden tersebut. Mereka menegaskan bahwa pelanggaran ini hanya berdampak pada saluran distribusi npm untuk paket CLI mereka, dan secara eksklusif hanya memengaruhi pengembang yang mengunduh versi 2026.4.0 yang telah disusupi tersebut.

“Investigasi tidak menemukan bukti bahwa data brankas (vault) pengguna akhir diakses atau berada dalam risiko, atau bahwa data maupun sistem produksi telah disusupi,” tegas pihak Bitwarden dalam pernyataan resminya. “Begitu masalah terdeteksi, akses yang disusupi langsung dicabut, rilis npm berbahaya ditarik, dan langkah-langkah remediasi segera dimulai.”

Bitwarden menjamin bahwa integritas basis kode CLI Bitwarden yang sah dan seluruh data brankas yang disimpan tetap utuh dan aman.

Mekanisme Serangan Rantai Pasokan

Menurut analisis dari Socket, peretas tampaknya menyalahgunakan GitHub Action yang telah disusupi dalam alur kerja CI/CD (Integrasi Berkelanjutan/Pengiriman Berkelanjutan) Bitwarden untuk menyuntikkan kode berbahaya ke dalam paket CLI npm.

Berikut adalah rincian cara kerja malware tersebut:

• Pengunduh Kustom: JFrog menemukan bahwa skrip prapemasangan dan titik masuk CLI telah dimodifikasi untuk menggunakan pemuat (loader) kustom bernama bw_setup.js. Skrip ini akan memeriksa keberadaan runtime Bun dan mengunduhnya jika belum ada di sistem korban.
• Eksekusi Malware: Pemuat kemudian menggunakan runtime Bun untuk meluncurkan fail JavaScript yang diofuskasi (disamarkan) bernama bw1.js, yang bertindak sebagai malware pencuri kredensial.
• Pencurian Data Skala Besar: Malware ini memanen berbagai rahasia sistem secara agresif, termasuk token npm, token autentikasi GitHub, kunci SSH, dan kredensial komputasi awan (cloud) untuk AWS, Azure, dan Google Cloud.
• Eksfiltrasi Tak Lazim: Data yang dikumpulkan kemudian dienkripsi menggunakan AES-256-GCM. Uniknya, untuk mengeksfiltrasi data, malware secara otomatis membuat repositori GitHub publik di bawah akun korban sebagai tempat penyimpanan data terenkripsi. OX Security mencatat bahwa repositori palsu ini mengandung string teks berbunyi “Shai-Hulud: The Third Coming”—sebuah referensi ke serangan npm sebelumnya.
• Propagasi Mandiri: Layaknya worm, malware ini memiliki kemampuan untuk menyebar. Ia menggunakan kredensial npm yang dicuri untuk mengidentifikasi paket apa saja yang dapat dimodifikasi oleh korban, lalu menyuntikkan kode berbahayanya ke paket-paket tersebut.

Kaitan Kuat dengan Insiden Checkmarx

Serangan ini terjadi berdekatan dengan pengungkapan insiden rantai pasokan terpisah oleh Checkmarx, yang memengaruhi image Docker KICS dan ekstensi pengembang mereka.

Bitwarden mengonfirmasi kepada BleepingComputer bahwa insiden ini terhubung erat dengan serangan Checkmarx. Alat pengembangan terkait Checkmarx yang telah disusupi menjadi celah yang memungkinkan penyalahgunaan jalur pengiriman npm untuk CLI Bitwarden selama jendela waktu yang terbatas.

Peneliti Socket juga memvalidasi kaitan tersebut. “Koneksinya berada pada tingkat malware dan infrastruktur. Dalam kasus Bitwarden, muatan berbahaya menggunakan titik akhir audit.checkmarx[.]cx/v1/telemetry yang sama persis dengan yang muncul dalam insiden Checkmarx,” urai perwakilan Socket.

Kedua serangan ini juga berbagi rutinitas ofuskasi __decodeScrambled dengan seed 0x3039 yang identik, serta menunjukkan pola pencurian kredensial dan eksfiltrasi GitHub yang sama. Kedua kampanye siber ini telah dikaitkan dengan aktor ancaman yang dikenal sebagai TeamPCP, kelompok yang sebelumnya menargetkan paket pengembang dalam serangan rantai pasokan masif Trivy dan LiteLLM.

Langkah Mitigasi: Para pengembang yang menginstal paket Bitwarden CLI versi 2026.4.0 harus menganggap sistem dan semua kredensial mereka telah disusupi. Anda sangat diwajibkan untuk segera merotasi (rotate) semua kredensial yang terekspos, terutama yang digunakan untuk alur CI/CD, penyimpanan cloud, dan lingkungan pengembangan (developer environments).