- Uma campanha associada à Checkmarx atingiu a Bitwarden CLI, com a distribuição de um pacote malicioso do @bitwarden/cli no npm.
- A Bitwarden confirmou identificação e contenção da versão 2026.4.0 publicada no npm, no dia 22 de abril de 2026.
- O incidente ficou restrito ao mecanismo de entrega via npm e não comprometeu dados de usuários finais; extensões Chrome, servidor MCP e outros canais oficiais não teriam sido afetados.
- O malware incluía o arquivo bw1.js na versão distribuída; pesquisadores da Socket e da JFrog relacionaram o caso à campanha maior contra a Checkmarx, indicando reaproveitamento de infraestrutura e semelhanças técnicas com artefatos anteriores.
- O vetor teria passado pela cadeia de CI/CD; apesar de a Bitwarden dizer não haver evidência de acesso a dados de clientes, o risco operacional permanece para organizações que instalaram a versão afetada.
Uma campanha de ataque à cadeia de suprimentos associada à Checkmarx atingiu o Bitwarden CLI, por meio da distribuição de um pacote malicioso do repositório @bitwarden/cli no npm. A ocorrência foi confirmada pela própria Bitwarden.
A empresa informou ter identificado e contido a publicação comprometida da versão 2026.4.0 em uma janela curta no dia 22 de abril de 2026. O incidente ficou restrito ao envio via npm.
Segundo Bitwarden, dados de usuários finais não teriam sido afetados, e extensões para Chrome, servidor MCP e outros canais oficiais não teriam sido violados. O foco permanece na CLI publicada no repositório de pacotes.
Ato investigativo e relação com a Checkmarx
As análises apontam que o pacote malicioso continha o arquivo bw1.js inserido na versão publicada no npm. Pesquisadores da Socket e da JFrog associam o caso à campanha maior contra a Checkmarx, com reaproveitamento de infraestrutura e semelhanças técnicas a artefatos já observados.
O vetor teria passado pela cadeia de CI/CD, alinhando-se a investigações anteriores sobre o comprometimento da Checkmarx. O episódio é considerado sensível por envolver uma ferramenta de automação amplamente utilizada em pipelines.
Ainda sem evidência de acesso a dados de clientes, o risco operacional permanece relevante para organizações que instalaram a versão afetada durante a exposição. Em ambientes de DevOps, uma CLI adulterada pode facilitar roubo de segredos e persistência em pipelines.
Entre na conversa da comunidade