攻撃者は、パスワード管理サービスBitwardenのCLIバージョン2026.4.0を、侵害されたGitHub Actions経由で乗っ取り、暗号資産ウォレット情報や開発者認証情報を積極的に盗み取る悪意のあるnpmパッケージを公開した。
セキュリティ企業のSocketが4月23日にこの侵害を発見し、進行中のTeamPCPによるサプライチェーン攻撃キャンペーンとの関連を示した。問題のあるnpmバージョンはすでに削除されている。
マルウェアが暗号資産ウォレットとCI/CDシークレットにリスク
悪意のあるペイロードは、bw1.jsというファイルに埋め込まれ、パッケージのインストール時に実行されていた。GitHubやnpmのトークン、SSHキー、環境変数、シェル履歴、クラウド認証情報を窃取していた。
TeamPCPのより広範なキャンペーンは、MetaMaskやPhantom、ソラナのウォレットファイルを含む、暗号資産ウォレット情報の窃取を狙うことが別途確認されている。
JFrogによると、窃取されたデータは攻撃者が管理するドメインに転送され、GitHubリポジトリへコミットされることで持続性の 手段とされていた。
多くの暗号資産関連チームは、シークレット注入やデプロイにBitwarden CLIを自動化CI/CDパイプラインで利用している。侵害されたバージョンを実行したワークフローは、価値の高いウォレットの秘密鍵や取引所API認証情報が漏洩した可能性がある。
セキュリティ研究者アドナン・カーン氏は、npmの信頼性の高いパブリッシュ機能を使うパッケージが侵害された事例は今回が初めてだと指摘した。この仕組みは本来、長期間有効なトークンの排除を意図したものだった。
影響を受けた利用者がとるべき対応
Socketは@bitwarden/cliの2026.4.0バージョンをインストールしたすべての利用者に対し、露出したシークレットを直ちにローテーションするよう推奨している。
利用者はバージョン2026.3.0へダウングレードするか、Bitwarden公式サイトから署名済みバイナリに切り替えるべきである。
TeamPCPは2026年3月以降、Trivy、Checkmarx、LiteLLMなど、ビルドパイプラインの深部にある開発者向けツールに対しても同様の攻撃を連続して仕掛けている。
Bitwardenのコアボールトは影響を受けていない。侵害されたのはCLIのビルドプロセスのみである。
