đŸ—“ïž Contexte

Le 23 avril 2026, Bitwarden a publiĂ© une dĂ©claration officielle sur son forum communautaire concernant la compromission temporaire de son paquet npm @bitwarden/cli version 2026.4.0, survenue la veille entre 17h22 et 19h30 ET (22 avril 2026), soit une fenĂȘtre d’exposition d’environ 93 minutes.

🔍 DĂ©roulement de l’incident

L’incident s’inscrit dans un incident de supply chain plus large impliquant Checkmarx. Selon des informations publiĂ©es sur Reddit par un membre de l’Ă©quipe Bitwarden, le vecteur initial Ă©tait une extension VSCode malveillante de Checkmarx installĂ©e sur le poste d’un ingĂ©nieur Bitwarden, permettant Ă  l’attaquant d’accĂ©der aux credentials de publication npm.

  • La version 2026.4.0 n’a jamais Ă©tĂ© une release officielle Bitwarden (la version prĂ©cĂ©dente Ă©tait 2026.3.0, la suivante 2026.4.1)
  • Le paquet malveillant contenait un script preinstall dĂ©clenchant le payload dĂšs l’installation, sans nĂ©cessiter d’exĂ©cution explicite du CLI
  • 334 utilisateurs ont tĂ©lĂ©chargĂ© le paquet malveillant
  • Le paquet snap n’a pas Ă©tĂ© affectĂ©

🎯 Payload et donnĂ©es ciblĂ©es

D’aprĂšs les analyses indĂ©pendantes de JFrog et Socket, le code malveillant Ă©tait conçu pour voler des credentials depuis le systĂšme infectĂ© :

  • Tokens API et clĂ©s SSH
  • Variables d’environnement
  • Credentials de workflows CI/CD et GitHub

Les donnĂ©es des coffres-forts Bitwarden des utilisateurs n’Ă©taient pas ciblĂ©es par le payload. Aucune donnĂ©e de production Bitwarden n’a Ă©tĂ© compromise.

đŸ› ïž RĂ©ponse et remĂ©diation

  • DĂ©tection et rĂ©vocation des accĂšs compromis en moins de 2 heures
  • DĂ©prĂ©ciation du paquet npm malveillant
  • Publication de la version corrective 2026.4.1
  • Émission d’un CVE pour la version 2026.4.0
  • Étapes de remĂ©diation publiĂ©es : dĂ©sinstallation, nettoyage du cache npm, rotation des secrets exposĂ©s

📌 Type d’article

Il s’agit d’une annonce d’incident officielle complĂ©tĂ©e par des Ă©changes communautaires techniques, visant Ă  informer les utilisateurs affectĂ©s et Ă  documenter les actions de rĂ©ponse.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1608.003 — Stage Capabilities: Install Digital Certificate (Resource Development)

Malware / Outils

  • Malicious VSCode Extension (Checkmarx) (other)
  • @bitwarden/cli 2026.4.0 (malicious npm package) (other)

🟡 Indice de vĂ©rification factuelle : 40/100 (moyenne)

  • ⬜ community.bitwarden.com — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 17623 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC Ă  vĂ©rifier (0pts)
  • ✅ 6 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://community.bitwarden.com/t/bitwarden-statement-on-checkmarx-supply-chain-incident/96127