La campagna della catena di fornitura di Checkmarx ha raggiunto Bitwarden. Ricercatori di JFrog e Socket hanno rilevato codice dannoso nella versione @bitwarden/cli@2026.4.0 del gestore di password. Il file bw1.js contiene il payload dannoso, sfruttando vulnerabilità nel processo di distribuzione. Si esorta gli utenti a verificare le proprie installazioni e migrare a una versione sicura per ridurre i rischi.
Dettagli tecnici del codice dannoso in bw1.js 🛡️
L'attacco ha inserito uno script offuscato all'interno del pacchetto npm di Bitwarden CLI, specificamente in bw1.js. Questo codice, una volta eseguito, poteva esfiltrare credenziali e token di accesso memorizzati localmente. La tecnica sfrutta la fiducia nell'ecosistema npm, dove gli sviluppatori scaricano pacchetti senza verificarne l'integrità. La versione compromessa, 2026.4.0, è stata distribuita per un breve periodo prima di essere rilevata. I ricercatori raccomandano di controllare i log di installazione e utilizzare checksum per confermare l'autenticità del software.
Il tuo gestore di password ora gestisce anche i rischi 😅
Perché niente dice fiducia come scoprire che il tuo gestore di password, quello che custodisce le tue chiavi della banca e di Netflix, ora memorizza anche codice dannoso. Bitwarden, lo strumento che ha promesso di mantenere i tuoi dati al sicuro, è diventato il postino che consegna pacchi bomba. La cosa peggiore è che il malware si è intrufolato dalla porta sul retro di npm, lo stesso posto dove tutti scaricano le loro dipendenze come chi compra in un mercatino. Almeno gli aggressori hanno avuto la decenza di etichettare bene il loro prodotto: 2026.4.0, una versione di cui sicuramente ti ricorderai.