Pacote NPM do Bitwarden comprometido

O pacote NPM da interface de linha de comandos (CLI) do Bitwarden foi comprometido num ataque de supply chain que afetou a versão 2026.4.0. O incidente insere-se numa vaga recente de ataques ao ecossistema open source software, com foco na exfiltração de credenciais e segredos.

A versão maliciosa incluía código destinado a descarregar um payload em JavaScript a partir do GitHub. Este mecanismo alterava o fluxo de execução da aplicação para carregar um componente malicioso, responsável por recolher informação sensível dos sistemas afetados.

De acordo com a análise de várias empresas de segurança, citadas pela Security Week, o malware incorporava múltiplos módulos de recolha de dados, direcionados a credenciais e tokens de plataformas como AWS, Microsoft Azure, Google Cloud, GitHub e NPM. O código também procurava material SSH, histórico de shell e ficheiros associados a ferramentas de inteligência artificial.

Além da recolha de dados, o payload explorava tokens do GitHub para automatizar ações nas contas comprometidas. Entre estas ações incluem-se a criação de repositórios, branches e workflows, permitindo a extração adicional de informação sensível através de artefactos gerados.

A exfiltração dos dados era realizada via HTTPS, com recurso alternativo a repositórios GitHub quando a comunicação direta falhava. Este método aumenta a probabilidade de evasão a mecanismos de deteção tradicionais.

A Bitwarden confirmou o incidente, indicando, no entanto, não existirem evidências de acesso a cofres de utilizadores nem a sistemas de produção. Ainda assim, o caso levanta preocupações sobre a segurança de dependências críticas em ambientes de desenvolvimento.