Bitwarden se Pronuncia sobre Incidente na Cadeia de Suprimentos da Checkmarx

27 de abril de 2026

Resumo

Um pacote npm malicioso, o @bitwarden/[email protected], foi baixado por 334 usuários entre 17h57 e 19h30 ET de 22 de abril. Este incidente foi contido em 93 minutos após o comprometimento mais amplo da cadeia de suprimentos da Checkmarx. A propagação ocorreu através de uma extensão maliciosa da Checkmarx para VSCode na estação de trabalho de um engenheiro da Bitwarden, e não por uma dependência de CI/CD.

O script de pré-instalação do pacote ativou o roubo de credenciais apenas durante a instalação, subtraindo tokens, chaves SSH e segredos de ambiente. No entanto, análises confirmaram que os dados do vault não foram comprometidos. Em resposta, a Bitwarden emitiu um CVE, depreciou o pacote afetado, lançou a versão 2026.4.1 e orientou os usuários impactados a rotacionar segredos expostos, auditar fluxos de trabalho do GitHub e credenciais de CI, além de limpar caches npm com scripts de instalação desabilitados durante a remediação.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 27 de abril de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?