El director de seguridad de la información de Mist informó y reenfocó una advertencia del equipo de seguridad de Bitwarden: la versión 2026.4.0 de Bitwarden CLI, mediante el envío y la publicación a través de npm durante un período de 1.5 horas entre las 5:57 p.m. y las 7:30 p.m. (hora del Este de EE. UU.) del 22 de abril, había sido modificada y se retiró la versión del paquete npm malicioso que fue publicada; Bitwarden confirmó oficialmente que los datos del gestor de contraseñas y los sistemas de producción no se vieron afectados.
Detalles del ataque: objetivo de robo del payload malicioso bw1.js
El payload malicioso se ejecuta en silencio durante la instalación del paquete npm, recopilando los siguientes tipos de datos:
· Tokens de GitHub y npm
· Claves SSH
· Variables de entorno
· Historial de Shell
· Credenciales de la nube
· Documentos de carteras cifradas (incluyendo carteras MetaMask, Phantom y Solana)
Los datos robados se exfiltran a un dominio controlado por el atacante y se envían de forma persistente al repositorio de GitHub. Muchos equipos de criptomonedas usan Bitwarden CLI en flujos de automatización CI/CD para la inyección de claves y el despliegue; cualquier proceso que haya ejecutado una versión comprometida podría filtrar claves de billeteras de alto valor y credenciales de la API de los exchanges.
Pasos de respuesta de emergencia para usuarios afectados
Solo los usuarios que instalaron la versión 2026.4.0 a través de npm dentro de la ventana entre las 5:57 p.m. y las 7:30 p.m. (hora del Este de EE. UU.) del 22 de abril deben tomar las siguientes acciones: desinstalar inmediatamente la versión 2026.4.0; limpiar el caché de npm; rotar todas las credenciales sensibles como los API Token y las claves SSH; revisar actividades anómalas en GitHub y en los procesos CI/CD; actualizar a la versión 2026.4.1 ya corregida (o degradar a 2026.3.0, o descargar los binarios oficiales firmados desde el sitio oficial de Bitwarden).
Antecedentes del ataque: el mecanismo de publicación confiable de npm se explotó por primera vez
El investigador de seguridad Adnan Khan señaló que este ataque es un caso de la primera explotación conocida del mecanismo de publicación confiable de npm para invadir paquetes de software. Este ataque está relacionado con las actividades del ataque de la cadena de suministro TeamPCP; desde marzo de 2026, TeamPCP ha lanzado ataques similares contra herramientas de seguridad como Trivy, la plataforma de seguridad de código Checkmarx y herramientas de IA como LiteLLM, con el objetivo de incrustar herramientas para desarrolladores en el proceso de compilación CI/CD.
Preguntas frecuentes
¿Cómo confirmar si instalé la versión 2026.4.0 afectada?
Ejecute npm list -g @bitwarden/cli para ver las versiones instaladas. Si muestra 2026.4.0 y el tiempo de instalación está entre las 5:57 p.m. y las 7:30 p.m. (hora del Este de EE. UU.) del 22 de abril, se deben tomar medidas de inmediato. Incluso si no está seguro de la hora de instalación, se recomienda rotar activamente todas las credenciales relacionadas.
¿Se filtraron los datos del gestor de contraseñas de Bitwarden?
No. Bitwarden confirmó oficialmente que los datos del gestor de contraseñas de los usuarios y los sistemas de producción no se vieron comprometidos. Este ataque solo afectó el proceso de construcción del CLI; el objetivo del ataque eran credenciales para desarrolladores y documentos de carteras cifradas, no la base de datos de contraseñas de usuarios de la plataforma Bitwarden.
¿Cuál es el trasfondo más amplio de las actividades del ataque de la cadena de suministro TeamPCP?
Desde marzo de 2026, TeamPCP lanzó una serie de ataques contra herramientas para desarrolladores; los objetivos afectados incluyen Trivy, Checkmarx y LiteLLM. El ataque contra Bitwarden CLI es parte de la misma serie de actividades: el objetivo era incrustar herramientas para desarrolladores en el proceso de compilación CI/CD para robar credenciales de alto valor en los canales de automatización.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
La reorganización de Litecoin deshace el exploit de la capa de privacidad MWEB
Litecoin sufrió una profunda reorganización de cadena el sábado después de que los atacantes explotaran una vulnerabilidad de día cero en su capa de privacidad (MWEB) de la Extension Block de MimbleWimble, según la Litecoin Foundation. El incidente dio lugar a una reorganización de tres horas que borró transacciones inválidas de la
CryptoFrontierHace12m
Estafa de “Laptop Farm” de desarrolladores de TI de Corea del Norte: el cómplice estadounidense fue condenado a 7-9 años, acumuló 2,800 millones de dólares en dos años
Informe de Fortune: Corea del Norte, a través de granjas de portátiles dentro de Estados Unidos, obtuvo aproximadamente 2.800 millones de dólares de ingresos acumulados en dos años para apoyar armas nucleares; tributo anual de 250–600 millones de dólares. El sospechoso estadounidense Kejia Wang y Zhenxing Wang fueron condenados a 7,5 años y 9 años, respectivamente, por estar implicados en más de 100 empresas y 80 casos de suplantación de identidad. Corea del Norte opera en Estados Unidos mediante identidades estadounidenses y dispositivos fijos, y gran parte de los fondos se convierten en efectivo a través de criptomonedas. Los expertos advierten que la red de cómplices dentro del país aún existe; las empresas deben reforzar la verificación de identidad, el seguimiento de direcciones y el análisis de zona horaria/IP.
ChainNewsAbmediahace3h
La policía de Hong Kong advierte de un aumento de las estafas cripto; Dos mujeres pierden US$1,24M en las últimas semanas
Boletín de Gate News, 25 de abril — Dos mujeres de Hong Kong perdieron en total 9,7 millones de HK$ (US$1,24 millones) a estafadores de criptomonedas en las últimas semanas, lo que llevó a la policía local a emitir una advertencia pública. La policía de Hong Kong informó de más de 80 casos de fraude en una sola semana, con pérdidas totales que superan HK$80 millón (U
GateNewshace4h
Familias de malware para Android atacan aplicaciones bancarias y cripto de 800+ con tasas de detección casi nulas: Zimperium
Mensaje de Gate News, 25 de abril — La empresa de ciberseguridad Zimperium ha identificado cuatro familias activas de malware—RecruitRat, SaferRat, Astrinox y Massiv—dirigidas a más de 800 aplicaciones en los sectores de banca, criptomonedas y redes sociales. Las campañas emplean técnicas avanzadas de evasión del análisis y
GateNewshace6h
El token TRADOOR cae un 90% en 30 minutos en medio de sospechas de manipulación de precios y wash trading
Mensaje de Gate News, 25 de abril — El token TRADOOR registró una brusca caída del 90% de su precio en 30 minutos a las 2:00 AM de hoy, según el analista on-chain Specter. El token había subido hasta un 900% desde marzo de 2026 antes del repentino colapso, lo que genera sospechas de manipulación de precios y operaciones coordinadas
GateNewshace8h
El protocolo de préstamos Purrlend sufre un ataque y pierde $1.52 millones entre MegaETH y HyperEVM
Mensaje de Gate News, 25 de abril: el protocolo de préstamos Purrlend cayó víctima de ataques en ambas redes, MegaETH e HyperEVM, hoy, lo que resultó en pérdidas de aproximadamente $1.52 millones.
Los atacantes extrajeron aproximadamente $1.2 millones en activos de la red HyperEVM, incluidos 449,683 USDC, 214,125
GateNewshace8h
