Le 22 avril 2026, entre 17h57 et 19h30 (heure de l’Est) — soit une fenêtre d’un peu plus d’une heure et demie — une version piégée du paquet npm @bitwarden/cli@2026.4.0 a été distribuée sur le registre npm. L’incident s’inscrit dans la campagne d’attaque supply chain plus large dite « Checkmarx », déjà à l’origine de plusieurs compromissions ces derniers jours. Bitwarden a rapidement publié un communiqué pour clarifier le périmètre de l’attaque.
Les attaquants n’ont pas compromis le code source de Bitwarden. Ils ont compromis le pipeline de publication. Concrètement, une GitHub Action utilisée dans la chaîne CI/CD de Bitwarden a été détournée pour publier sur npm une version malveillante du CLI contenant un fichier additionnel, bw1.js, exécuté via un hook preinstall au moment de l’installation du paquet.
La suite est réservée à mes patrons
Cet article fait partie des contenus exclusifs que je publie sur Patreon. Rejoins la communauté pour lire la suite, soutenir mon travail et accéder à tous les articles réservés.
Loading comments...