Bitwarden CLI: Ataque Shai-Hulud compromete segurança

Bitwarden CLI compromise Shai-Hulud malware npm supply chain attack cybersecurity news GitHub token theft developer security
N
Natalie Ferreira

Consumer Privacy & Identity Theft Prevention Writer

 
24 de abril de 2026
3 min de leitura
Bitwarden CLI: Ataque Shai-Hulud compromete segurança

TL;DR

Pesquisadores da OX Security e Socket confirmaram que a versão 2026.4.0 do @bitwarden/cli no npm foi infectada com o worm autopropagável 'Shai-Hulud'. O ataque injeta o arquivo malicioso 'bw1.js' para comprometer desenvolvedores e empresas. Embora as extensões de navegador e desktop estejam seguras, usuários da ferramenta de linha de comando devem atualizar seus sistemas imediatamente.

Bitwarden CLI Comprometido em Ataque de Cadeia de Suprimentos Shai-Hulud

Análises da OX Security e da Socket confirmaram que o pacote @bitwarden/cli no npm foi alvo de um backdoor. A versão maliciosa, 2026.4.0, contém um worm de autopropagação conhecido como "Shai-Hulud". Este ataque foca em desenvolvedores e empresas ao injetar um arquivo chamado bw1.js no pacote. Embora o aplicativo de desktop e as extensões de navegador do Bitwarden permaneçam seguros, a ferramenta de linha de comando (CLI), utilizada por mais de 10 milhões de usuários, é um grande ponto de preocupação para quem gerencia segurança e privacidade online.

Notícias Shai Hulud

Imagem cortesia da OX Security

Análise Técnica do Payload Malicioso

O malware é executado durante a fase de preinstall por meio de um script chamado bw_setup.js. Ele realiza o download do Bun v1.3.13 para rodar o código malicioso bw1.js. Um recurso notável é o "kill switch de localidade russa"; o malware verifica o idioma da máquina hospedeira e encerra a execução caso esteja configurado para o russo. Isso indica que os criadores provavelmente desejam evitar a infecção de sistemas em sua própria região. Para aqueles preocupados com ameaças regionais desse tipo, o uso do SquirrelVPN pode ajudar a mascarar sua pegada digital e reforçar sua segurança na internet.

imagem

Imagem cortesia da OX Security

Exfiltração de Dados e Integração com GitHub

Uma vez ativo, o worm coleta uma ampla gama de dados sensíveis. Ele visa tokens do GitHub, credenciais da AWS, tokens do Azure e informações do GCP. Os dados roubados são criptografados usando AES-256-GCM e, em seguida, enviados para um repositório público recém-criado na própria conta do GitHub da vítima. Esses repositórios geralmente utilizam nomes inspirados na franquia Duna, como "Shai-Hulud: The Third Coming". Pesquisadores da JFrog Security também observaram o uso do TruffleHog para escanear segredos ocultos dentro do sistema infectado.

Análise de Infecção Shai-Hulud

Imagem cortesia da OX Security

Propagação na Cadeia de Suprimentos e Persistência

O malware não se limita a roubar dados; ele tenta se espalhar. Ele utiliza tokens do npm roubados para localizar outros pacotes que o desenvolvedor tenha permissão para editar. Em seguida, injeta o código malicioso nesses pacotes e os republica, perpetuando o ciclo. Para garantir a persistência no sistema, ele modifica perfis de shell como ~/.bashrc e ~/.zshrc. Esse nível de sofisticação nas tendências de cibersegurança reforça por que o gerenciamento de autenticação multifator e a rotação de chaves são vitais para qualquer entusiasta de tecnologia.

imagem

Imagem cortesia da OX Security

Checklist de Segurança Recomendado

Se você utilizou o Bitwarden CLI nas últimas 24 horas, siga estes passos para proteger seu ambiente:

  • Faça o Downgrade Imediatamente: Altere a versão do seu pacote npm para 2026.3.0 ou anterior.
  • Rotacione Todas as Chaves: Isso inclui tokens de acesso pessoal do GitHub, chaves de acesso AWS e tokens do npm.
  • Audite seus Repositórios: Procure por quaisquer repositórios públicos não autorizados em sua conta do GitHub que contenham "Shai-Hulud" na descrição.
  • Verifique a Persistência: Procure por um arquivo de trava em /tmp/tmp.987654321.lock e inspecione seus arquivos de configuração de shell em busca de códigos estranhos.
  • Ative o 2FA: Utilize sempre a autenticação multifator em todas as contas de desenvolvedor e de nuvem para impedir o acesso não autorizado, mesmo que um token seja roubado.

imagem

Imagem cortesia da OX Security

Proteja sua vida digital e mantenha-se à frente das ameaças mais recentes com as análises de especialistas em squirrelvpn.com.

N
Natalie Ferreira

Consumer Privacy & Identity Theft Prevention Writer

 

Natalie Ferreira is a consumer technology writer who specializes in identity theft prevention, online safety, and digital literacy. After experiencing identity theft firsthand, she dedicated her career to educating the public about personal data protection. Natalie has written for major consumer technology outlets and holds a degree in Journalism from Columbia University. She focuses on making cybersecurity approachable for families, seniors, and first-time internet users who may feel overwhelmed by the technical jargon.

Notícias relacionadas

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Por Viktor Sokolov 10 de julho de 2026 4 min de leitura
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Por Marcus Chen 9 de julho de 2026 4 min de leitura
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Por Elena Voss 8 de julho de 2026 4 min de leitura
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Por James Okoro 7 de julho de 2026 4 min de leitura
common.read_full_article