La campagne de la chaîne d'approvisionnement de Checkmarx a touché Bitwarden. Des chercheurs de JFrog et Socket ont détecté un code malveillant dans la version @bitwarden/cli@2026.4.0 du gestionnaire de mots de passe. Le fichier bw1.js contient la charge utile malveillante, exploitant des vulnérabilités dans le processus de distribution. Les utilisateurs sont invités à vérifier leurs installations et à migrer vers une version sécurisée pour réduire les risques.
Détails techniques du code malveillant dans bw1.js 🛡️
L'attaque a inséré un script obscurci dans le paquet npm de Bitwarden CLI, spécifiquement dans bw1.js. Ce code, lors de son exécution, pouvait exfiltrer des identifiants et des jetons d'accès stockés localement. La technique exploite la confiance dans l'écosystème npm, où les développeurs téléchargent des paquets sans vérifier leur intégrité. La version compromise, 2026.4.0, a été distribuée pendant une brève période avant d'être détectée. Les chercheurs recommandent d'auditer les journaux d'installation et d'utiliser des sommes de contrôle pour confirmer l'authenticité du logiciel.
Ton gestionnaire de mots de passe gère désormais aussi les risques 😅
Parce que rien ne dit confiance comme apprendre que ton gestionnaire de mots de passe, celui qui garde tes clés bancaires et Netflix, stocke désormais aussi du code malveillant. Bitwarden, l'outil qui a promis de garder tes données en sécurité, est devenu le facteur qui livre des colis piégés. Le pire, c'est que le malware s'est infiltré par la porte dérobée de npm, cet endroit où tout le monde télécharge ses dépendances comme on achète sur un marché aux puces. Au moins, les attaquants ont eu la décence de bien étiqueter leur produit : 2026.4.0, une version dont tu te souviendras sûrement.