Nguồn: Socket Security
Tóm tắt
Socket phát hiện Bitwarden CLI — trình quản lý mật khẩu phục vụ hơn 10 triệu người dùng và 50.000 doanh nghiệp — đã bị xâm phạm trong chiến dịch tấn công chuỗi cung ứng đang diễn ra của Checkmarx. Phiên bản bị ảnh hưởng là @bitwarden/cli2026.4.0, với mã độc nằm trong file bw1.js. Cuộc tấn công khai thác một GitHub Action bị xâm phạm trong CI/CD pipeline của Bitwarden.
Payload độc hại chia sẻ cùng infrastructure với chiến dịch Checkmarx: cùng C2 endpoint (audit.checkmarx[.]cx/v1/telemetry) được obfuscate với seed 0x3039, cùng cấu trúc gzip+base64 nhúng Python script để scrape bộ nhớ của GitHub Actions Runner. Mục tiêu thu thập thông tin bao gồm GitHub tokens, AWS credentials, Azure tokens, GCP credentials, npm config, SSH keys và Claude/MCP config files. Kết quả được exfiltrate qua các repository GitHub công khai sử dụng tên theo chủ đề Dune ({word}-{word}-{3digits}).
Điểm khác biệt so với chiến dịch Checkmarx gốc là payload này có “Russian locale kill switch” (thoát lặng lẽ nếu locale bắt đầu bằng “ru”), thiết lập persistence vào ~/.bashrc và ~/.zshrc, và sử dụng branding ý thức hệ (Shai-Hulud, Butlerian Jihad). Chỉ có npm package CLI bị ảnh hưởng; Chrome extension và các phân phối khác của Bitwarden không bị ảnh hưởng. Các tổ chức sử dụng package này cần xoay vòng tất cả credentials ngay lập tức và kiểm tra GitHub repo cho workflow file bất thường.