Bitwarden CLI compromis – Shai-Hulud frappe encore
Si vous avez installé Bitwarden CLI via npm entre 17h57 et 19h30 PM (heure de New York) ce 22 avril, faut faire le ménage sur votre machine de toute urgence !! En effet, le package @bitwarden/cli version 2026.4.0 a été compromis durant 93 minutes, et le malware qui s’y trouvait a fait des dégâts chez les 334 personnes qui l’ont téléchargé pendant cette fenêtre.
Mais alors c’est quoi cette histoire encore ?
Hé bien des attaquants ont réussi à piéger le pipeline GitHub Actions de Bitwarden, à y injecter un fichier bw1.js dans le package npm officiel, et à le publier sans qu’aucune alerte ne parte. Jusqu’à ce que l’équipe sécurité de Bitwarden capte le truc et retire le package une heure et demie plus tard.
Et y’a un truc qui fait tiquer dans cette histoire, c’est que le malware s’annonce fièrement comme "Shai-Hulud: The Third Coming". En fait c’est la troisième vague d’une campagne npm
qu’on avait déjà croisée en septembre 2025
. Et les attaquants restent cohérents dans leur branding puisque les dépôts publics qu’ils créent chez les victimes portent des noms issu de Dune comme atreides, fremen, sardaukar ou harkonnen. Donc sachez le, si vous voyez ça apparaître sur votre GitHub, vous êtes cuit !
Le payload, lui, est propre dans son approche crasseuse,
selon l’analyse de Socket
. Il chope tout ce qui traîne sur votre machine : tokens GitHub (ghp_*), tokens npm, credentials AWS dans ~/.aws, tokens Azure, SSH keys, fichiers .npmrc, configs Claude et MCP.
Puis il chiffre le tout en AES-256-GCM avec une clé RSA éphémère, balance le paquet vers audit.checkmarx[.]cx/v1/telemetry (un domaine qui imite Checkmarx pour brouiller les pistes), puis injecte une backdoor dans vos .bashrc et .zshrc. Ah et le malware vérifie également votre localisation système et se barre en silence sans faire de dégâts si elle commence par "ru". Ohhh comme c’est bizarre ^^.
Bref, si vous êtes concerné, voici la liste des trucs à faire dans l’ordre :
npm uninstall -g @bitwarden/clipuisnpm cache clean --force- Rotation complète de vos secrets : tokens GitHub, tokens npm, credentials AWS/Azure/GCP, clés SSH
- Vérifiez vos repos GitHub pour des créations suspectes avec des noms Dune
- Cherchez "LongLiveTheResistanceAgainstMachines" dans vos commits (c’est leur marker d’exfiltration)
- Virez les modifications suspectes dans vos
~/.bashrcet~/.zshrc - Installez la version 2026.4.1 qui est propre
Faut bien le reconnaître, Bitwarden a été hyper réactif dans cette histoire. Détection en interne, mise en quarantaine en 93 minutes, communication claire, et CVE émis dans la foulée. Et heureusement, aucune donnée utilisateur n’a fuité vu que les vaults restent chiffrés côté client de toute façon, et que seuls les développeurs qui ont installé le CLI pendant ce créneau sont touchés. Les extensions navigateur, l’app desktop, mobile, le package snap, rien de tout ça n’a bougé.
Mais ça reste quand même la preuve que npm est devenu LE cauchemar de la supply chain moderne. Après
Axios
le mois dernier et la campagne Shai-Hulud de septembre, on en est au point où chaque package JS avec un script d’install équivaut à une bonne vieille roulette russe. Donc si vous bossez dans un environnement CI/CD, soyez vigilant et jetez aussi un oeil à
safe-npm
pour mettre un peu de paranoïa automatisée dans votre workflow quotidien.
Voilà, si vous avez installé Bitwarden CLI avant-hier soir via npm, vous avez du boulot. Sinon, respirez car Bitwarden a tenu bon !
Source : korben.info