La firma de seguridad Socket detectó una brecha crítica en el gestor de contraseñas Bitwarden, un ataque que compromete claves de wallets de criptomonedas.
Atacantes lograron vulnerar una GitHub Action para secuestrar la versión 2026.4.0 de la interfaz de línea de comandos (CLI) de Bitwarden, y distribuir un paquete malicioso a través del registro de NPM.
El incidente fue vinculado a la campaña activa TeamPCP, un grupo especializado en ataques a la cadena de suministro que puso en la mira a herramientas integradas en flujos de trabajo de desarrollo (CI/CD).
Este script se activaba automáticamente durante la instalación del paquete y ejecutaba un escaneo exhaustivo en el sistema de la víctima buscando:
Según los informes publicados por JFrog, los datos exfiltrados no solo se enviaban a servidores de los atacantes, sino que también se resubían a repositorios de GitHub, una táctica diseñada para garantizar la persistencia del robo de datos.
Por otro lado, el investigador Adnan Khan destacó un detalle preocupante de esta vulnerabilidad, ya que este es el primer caso registrado en el que se compromete un paquete que utiliza el sistema de "Publicación Confiable" (Trusted Publishing) de NPM.
Este mecanismo fue diseñado específicamente para mejorar la seguridad al eliminar la necesidad de tokens de larga duración, pero los atacantes lograron evadirlo al comprometer directamente la acción de GitHub encargada del despliegue.
El riesgo de este ataque fue particularmente alto para equipos de infraestructura y cripto, y muchas organizaciones utilizan Bitwarden CLI de forma automatizada para inyectar secretos durante el despliegue de software.
Es por eso que cualquier flujo de trabajo que haya descargado la versión comprometida (2026.4.0) debe considerarse totalmente expuesto.