Notícias Tech

Ataque à cadeia de suprimentos compromete Bitwarden CLI, aponta Checkmarx

há 2 horas
1 1 minuto de leitura
Ataque à cadeia de suprimentos compromete Bitwarden CLI, aponta Checkmarx
Resumo da notícia:

Uma versão maliciosa do Bitwarden CLI, ferramenta popular para gerenciamento de senhas via linha de comando, foi identificada como comprometida em uma sofisticada campanha de ataque à cadeia de suprimentos, segundo descobertas recentes das empresas de segurança JFrog e Socket. O pacote afetado, distribuído via npm como @bitwarden/cli@2026.4.0, continha código malicioso no arquivo “bw1.js”, projetado para roubar credenciais sensíveis de desenvolvedores e ambientes de integração contínua (CI/CD).

A invasão explorou uma ação comprometida do GitHub Actions no pipeline de CI/CD do Bitwarden, permitindo que o atacante inserisse código que, ao ser executado, capturava tokens do GitHub e npm, arquivos .ssh, variáveis de ambiente, histórico de shell e segredos de nuvem. Esses dados eram criptografados e enviados para um domínio controlado pelos invasores, além de serem armazenados em repositórios do GitHub como método alternativo de exfiltração.

O malware utilizava um preinstall hook para ativar o roubo de informações assim que o pacote era instalado, tornando qualquer desenvolvedor que baixasse a versão maliciosa um potencial ponto de entrada para comprometer toda a cadeia de suprimentos de software acessível por seus tokens. Além disso, o código malicioso era capaz de modificar workflows do GitHub Actions, ampliando o alcance do ataque e facilitando a extração de novos segredos de ambientes CI/CD.

A Bitwarden confirmou o incidente, esclarecendo que a brecha foi restrita ao mecanismo de distribuição npm do CLI durante um curto período e que não houve acesso a dados de cofres de usuários ou sistemas de produção. Após a detecção, o pacote foi removido e medidas de contenção foram implementadas. O caso destaca a crescente sofisticação dos ataques à cadeia de suprimentos e reforça a importância de monitoramento rigoroso em pipelines de desenvolvimento e distribuição de software.

Fonte original: thehackernews.com

Acessar publicação original

Resumo editorial criado automaticamente pela Eletrônica Americana com base em fontes internacionais públicas, com finalidade informativa.

Além de se manter informado, você pode aprofundar seus conhecimentos em nossos guias de compra, onde comparamos as melhores opções do mercado para facilitar sua escolha. Para uma análise técnica, confira nossas reviews completas com testes reais de desempenho. E se você está em busca do melhor preço, não deixe de acompanhar nossa seleção de ofertas e descontos atualizados diariamente nas principais lojas.

há 2 horas
1 1 minuto de leitura
Foto de Eletrônica Americana

Eletrônica Americana

Artigos relacionados

Ataques do Termite ransomware têm relação com invasões do ClickFix CastleRAT

Ataques do Termite ransomware têm relação com invasões do ClickFix CastleRAT

março 7, 2026
Homem dono do perfil @ihackedthegovernment admite erro à Justiça

Homem dono do perfil @ihackedthegovernment admite erro à Justiça

há 6 dias
Missões lunares da NASA avançam enquanto setor militar se prepara

Missões lunares da NASA avançam enquanto setor militar se prepara

há 3 semanas
Relação entre dieta cetogênica e erupção cutânea intriga especialistas

Relação entre dieta cetogênica e erupção cutânea intriga especialistas

janeiro 24, 2026
💬