Uma campanha de ataque à cadeia de suprimentos associada à Checkmarx alcançou agora o Bitwarden CLI, após a distribuição de um pacote malicioso do @bitwarden/cli no npm.
A ocorrência foi confirmada pelo próprio Bitwarden, que afirmou ter identificado e contido a publicação comprometida da versão 2026.4.0 em uma janela curta no dia 22 de abril de 2026.
Segundo a empresa, o incidente ficou restrito ao mecanismo de entrega via npm e não afetou dados de usuários finais. Extensão para Chrome, servidor MCP e outros canais oficiais de distribuição não teriam sido comprometidos, o que reduz o impacto fora de ambientes que dependem especificamente da CLI publicada no repositório de pacotes.
As análises divulgadas apontam que o pacote malicioso incluía o arquivo bw1.js, inserido no conteúdo da versão distribuída no npm. Pesquisadores da Socket e da JFrog relacionaram o caso à campanha mais ampla contra a Checkmarx, indicando reaproveitamento de infraestrutura e semelhanças técnicas com outros artefatos já observados no mesmo conjunto de ataques.
O vetor teria passado pela cadeia de CI/CD, em linha com o que já havia sido descrito em apurações anteriores sobre o comprometimento da Checkmarx.
Isso torna o episódio especialmente sensível porque o Bitwarden CLI costuma ser usado em automações, pipelines e rotinas administrativas, onde credenciais e segredos frequentemente transitam com alto privilégio.
Ainda que o Bitwarden sustente não haver evidência de acesso a dados de clientes, o risco operacional permanece relevante para organizações que instalaram a versão afetada durante o período de exposição.
Em cenários de DevOps, uma CLI adulterada pode servir de ponto de apoio para roubo de segredos, persistência em pipelines e expansão do comprometimento para outros serviços integrados.
