Saldırganlar, parola yöneticisi Bitwarden’ın CLI sürümü 2026.4.0’ı ele geçirilmiş bir GitHub Action üzerinden istismar etti ve sistemlere kripto cüzdan verisi ile geliştirici bilgilerini çalan zararlı bir npm paketi yükledi.
Güvenlik şirketi Socket, ihlali 23 nisan’da keşfetti ve saldırıyı halihazırda devam eden TeamPCP tedarik zinciri kampanyasıyla ilişkilendirdi. Kötücül npm paketi daha sonra sistemden kaldırıldı.
Kripto Cüzdanlar ve CI/CD Sırları Riskte!
Kötü amaçlı yazılım yükleyici, bw1.js adlı bir dosyada yer alıyordu. Bu dosya, paket kurulumu sırasında çalışıyor ve GitHub ile npm token’larını, SSH anahtarlarını, ortam değişkenlerini, terminal geçmişini ve bulut hesap bilgilerini topluyordu.
TeamPCP’nin daha geniş kapsamlı saldırısı ise MetaMask, Phantom ve Solana cüzdan dosyaları da dahil olmak üzere kripto cüzdan verilerini hedef almasıyla dikkat çekiyor.
JFrog’a göre çalınan veriler saldırganların kontrolündeki alan adlarına sızdırıldı ve kalıcı olabilmek için GitHub repolarına geri yüklendi. Bu durum zincir üstü bir iz bırakmaya da yaradı. Daha fazla bilgi için şuraya göz atabilirsiniz.
Çok sayıda kripto ekip, Bitwarden CLI’ı otomatik CI/CD süreçlerinde sırların yönetimi ve dağıtım için kullanıyor. Zararlı sürümü çalıştıran her iş akışında yüksek değerli cüzdan anahtarları ve kripto para borsası API bilgileri sızmış olabilir.
Güvenlik araştırmacısı Adnan Khan, bunun npm’in güvenilir yayınlama mekanizması kullanılarak ele geçirilen ilk paket olduğunu belirtti. Bu sistemin amacı ise uzun ömürlü token’ları ortadan kaldırmaktı dedi.
Zarar Görenler Ne Yapmalı?
Socket, resmi sitesi üzerinden @bitwarden/cli 2026.4.0 sürümünü yükleyen herkese, açığa çıkan tüm sırlarını derhal döndürmelerini öneriyor.
Kullanıcıların 2026.3.0 sürümüne dönmeleri veya Bitwarden’ın web sitesinden imzalı resmi ikili dosyaları kullanmaları tavsiye ediliyor.
TeamPCP mart 2026’dan bu yana Trivy, Checkmarx ve LiteLLM gibi araçlara benzer saldırılar düzenledi. Saldırıların odak noktası, geliştiricilerin inşa süreçlerinde derinlere gömülü kritik araçlar oldu.
Bitwarden’ın ana kasası etkilenmedi. Yalnızca CLI derleme süreci ele geçirildi.
