Versão 2026.4.0 do amplamente utilizado @bitwarden/cli O pacote npm (78 000 downloads semanais) foi identificado como malicioso. O pacote contém um sofisticado worm de roubo de credenciais em várias fases que se autodenomina explicitamente «Shai-Hulud: A Terceira Vinda», uma referência direta a campanhas anteriores da Shai-Hulud sobre a cadeia de abastecimento, e tem como alvo as credenciais dos programadores, incluindo chaves SSH, secrets na nuvem e até ficheiros de configuração do MCP.
Isto ocorre pouco tempo depois do recente ataque à Checkmarx, que incluiu um projeto do Docker Hub e uma extensão do VS Code. Acredita-se que o acesso obtido durante essa campanha possa ter sido utilizado para comprometer o pipeline de publicação da Bitwarden. Notavelmente, o atacante parece ter contornado os controlos de publicação de confiança da Bitwarden ao infetar o próprio pipeline de CI/CD (publish-ci.yml em github.com/bitwarden/clients), permitindo que um pacote malicioso seja publicado sob o nome do legítimo @bitwarden nome.
O Que Aconteceu
@bitwarden/cli@2026.4.0 introduziu um programa malicioso preinstall gancho que aponta para um novo ficheiro bw_setup.js. Isto é acionado automaticamente quando npm install sem necessidade de intervenção do utilizador.
Fase 1: bw_setup.js
Um programa de inicialização multiplataforma. Deteta o sistema operativo e a arquitetura da vítima e descarrega o ambiente de execução JavaScript Bun legítimo diretamente de github.com/oven-sh/bun, e utiliza-o para executar a carga útil da Fase 2.
Fase 2: bw1.js
Uma carga útil de 10 MB fortemente ofuscada. Uma vez desofuscada, revela-se um programa de recolha de credenciais e um worm de cadeia de abastecimento com funcionalidades completas. O seu comportamento assemelha-se muito às ondas anteriores do Shai-Hulud e contém até a sequência de caracteres «Shai-Hulud: The Third Coming» codificada como descrição do repositório público do GitHub que cria para extrair os dados roubados.
Esta versão apresenta uma forte temática do universo de «Dune» em todos os seus aspetos: o repositório exfil tem um nome derivado de termos aleatórios do vocabulário de «Dune» (fremen-verme-da-areia-441, harkonnen-melange-7, etc.), e a carga útil contém um manifesto anti-IA incorporado que tenta gravar nos ficheiros de configuração do shell das vítimas.
O que rouba
O malware analisa uma lista pré-definida de ficheiros de credenciais de alto valor no computador da vítima:
~/.ssh/id* / ~/.ssh/id_ (chaves privadas SSH)
~/.ssh/known_hosts (impressões digitais de hosts SSH)
~/.ssh/keys (armazenamento adicional de chaves SSH)
~/.aws/credentials (chaves de acesso AWS)
~/.config/gcloud/credentials.db (credenciais do GCP)
~/.npmrc / .npmrc (tokens de autenticação npm)
~/.claude.json / .claude.json (token de autenticação do Claude Code)
~/.claude/mcp.json (configurações do servidor MCP do Claude Code, pode conter chaves API e credenciais de base de dados)
~/.kiro/settings/mcp.json (configurações do servidor MCP do Kiro)
.git/config (URLs remotas do Git e credenciais)
.git-credentials (senhas do Git armazenadas)
.env (variáveis de ambiente do projeto e chaves API)
~/.bash_history / ~/.zsh_historyPara além dos ficheiros locais, o malware também executa coletores para o AWS SSM Parameter Store, Secrets AWS Secrets , o Azure Key Vault e o GCP Secret Manager, utilizando credenciais de nuvem disponíveis no ambiente. Qualquer pessoa que execute isto numa máquina de desenvolvimento ligada à nuvem ou num executor de CI fica sem toda secrets sua secrets .
O malware contacta dois endereços URL C2:
hxxps://audit.checkmarx[.]cx/v1/telemetry— C2 principal, ataca diretamente todas as infeções. Não é um Checkmarx legítimo Checkmarx ;.cxé o Island Christmas. Bloqueie-o imediatamente.hxxps://api.github[.]com/search/commits?q=beautifulcastle%20— alternativa. Se o C2 principal estiver inativo, o malware procura nestes commits do GitHub um nome de host substituto assinado.
A Propagação de Shai-Hulud
Encontrámos indícios de uma propagação semelhante à do Shai-Hulud. Os dados roubados são exfiltrados para um repositório público do GitHub criado na própria conta da vítima. No caso das vítimas que não são membros da organização, o seu token do GitHub é também publicado num «dead-drop» público de commits do GitHub, onde outras máquinas infetadas podem encontrá-lo e reutilizá-lo para facilitar a sua própria exfiltração. No caso das vítimas que são membros da organização, o seu token é mantido em sigilo, existindo apenas dentro dos dados de exfiltração encriptados.
Como o Aikido detecta isso
Se você é um usuário Aikido, verifique seu feed central e filtre por problemas de malware. Isso aparecerá como um problema crítico 100/100. O Aikido reanalisa todas as noites, mas recomendamos acionar uma reanálise manual agora.
Se você ainda não é um usuário Aikido, pode criar uma conta e conectar seus repositórios. Nossa cobertura de malware está incluída no plano gratuito, não é necessário cartão de crédito.
Para uma cobertura mais ampla em toda a sua equipe, o Endpoint Protection do Aikido oferece visibilidade e controle sobre os pacotes de software instalados nos dispositivos da sua equipe. Ele abrange extensões de navegador, bibliotecas de código, plugins de IDE e dependências de build, tudo em um só lugar. Impeça o malware antes que ele seja instalado.
Para proteção futura, considere Aikido Chain (código aberto). O Safe Chain integra-se no seu fluxo de trabalho atual, interceptando comandos npm, npx, yarn, pnpm e pnpx e verificando os pacotes com base Aikido antes da instalação.
IOCs
- Pacote:
@bitwarden/cli(versão 2026.4.0) - Ficheiro de pré-instalação: bw_setup.js
- SHA256:
37f34aa3b86db6898065f3ca886031978580a15251f2576f6d24c3b778907336
- SHA256:
- Ficheiro de carga útil: bw1.js
- SHA256:
18f784b3bc9a0bcdcb1a8d7f51bc5f54323fc40cbd874119354ab609bef6e4cb
- SHA256:
- Descrição do repositório do GitHub:
Shai-Hulud: A Terceira Vinda - Ponto final de exfiltração:
audit.checkmarx[.]cx:443/v1/telemetry - Mensagens públicas de commit que começam por
Viva a resistência contra as máquinas
