{"id":649,"date":"2026-04-23T15:09:37","date_gmt":"2026-04-23T15:09:37","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/cli-de-bitwarden-comprometida-en-la-campana-en-curso-de-la-cadena-de-suministro-de-checkmarx-cyberdefensa-mx\/"},"modified":"2026-04-23T15:09:37","modified_gmt":"2026-04-23T15:09:37","slug":"cli-de-bitwarden-comprometida-en-la-campana-en-curso-de-la-cadena-de-suministro-de-checkmarx-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/cli-de-bitwarden-comprometida-en-la-campana-en-curso-de-la-cadena-de-suministro-de-checkmarx-cyberdefensa-mx\/","title":{"rendered":"CLI de Bitwarden comprometida en la campa\u00f1a en curso de la cadena de suministro de Checkmarx \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

CLI de Bitwarden<\/a> se ha visto comprometido como parte de la campa\u00f1a de cadena de suministro Checkmarx recientemente descubierta y en curso, seg\u00fan nuevos hallazgos de JFrog y Socket.<\/p>\n

\u00abLa versi\u00f3n del paquete afectado parece ser @bitwarden\/cli@2026.4.0<\/a>y el c\u00f3digo malicioso se public\u00f3 en ‘bw1.js’, un archivo incluido en el contenido del paquete\u00bb, dijo la empresa de seguridad de aplicaciones. dicho<\/a>.<\/p>\n

\u00abEl ataque parece haber aprovechado una GitHub Action comprometida en el proceso de CI\/CD de Bitwarden, consistente con el patr\u00f3n observado en otros repositorios afectados en esta campa\u00f1a\u00bb.<\/p>\n

En una publicaci\u00f3n en X, JFrog dicho<\/a> la versi\u00f3n fraudulenta del paquete \u00abroba tokens de GitHub\/npm, .ssh, .env, historial de shell, acciones de GitHub y secretos de la nube, luego filtra los datos a dominios privados y a medida que GitHub se compromete\u00bb.<\/p>\n

Si bien la versi\u00f3n maliciosa ya no est\u00e1 disponible para descargar desde npm, Socket dijo que el compromiso sigue el mismo vector de cadena de suministro de GitHub Actions identificado en la campa\u00f1a Checkmarx.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Como parte del esfuerzo, se descubri\u00f3 que los actores de amenazas abusan de tokens de GitHub robados para inyectar un nuevo flujo de trabajo de GitHub Actions que captura secretos disponibles para la ejecuci\u00f3n del flujo de trabajo y utiliza credenciales npm recopiladas para enviar versiones maliciosas del paquete para leer el malware a los usuarios posteriores.<\/p>\n

Seg\u00fan el investigador de seguridad Adnan Khan, se dice que el actor de amenazas utiliz\u00f3 un flujo de trabajo malicioso<\/a> para publicar la CLI maliciosa de bitwarden. \u00abCreo que esta es la primera vez que un paquete que utiliza la publicaci\u00f3n confiable de NPM se ve comprometido\u00bb, Khan agregado<\/a>.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Cadena de ataque CLI de Bitwarden | Fuente: Seguridad OX<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Se sospecha que el actor de amenazas conocido como TeamPCP est\u00e1 detr\u00e1s del \u00faltimo ataque dirigido a Checkmarx. Al momento de escribir este art\u00edculo, TeamPCP La cuenta X ha sido suspendida.<\/a> por violar las reglas de la plataforma.<\/p>\n

OX Security, en un desglose del ataque, dicho<\/a> identific\u00f3 la cadena \u00abShai-Hulud: The Third Coming\u00bb en el paquete, lo que sugiere que esta es probablemente la siguiente fase de la campa\u00f1a de ataque a la cadena de suministro que sali\u00f3 a la luz el a\u00f1o pasado.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Referencia al \u00abShai-Hulud: La Tercera Venida\u00bb<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

\u00abEl \u00faltimo incidente de Shai Hulud es s\u00f3lo el \u00faltimo de una larga cadena de amenazas dirigidas a desarrolladores de todo el mundo. Los datos de los usuarios se est\u00e1n filtrando p\u00fablicamente a GitHub, a menudo pasando desapercibidos porque las herramientas de seguridad normalmente no se\u00f1alan los datos que se env\u00edan all\u00ed\u00bb, dijo Moshe Siman Tov Bustan, l\u00edder del equipo de investigaci\u00f3n de seguridad de OX Security.<\/p>\n

\u00abEsto hace que el riesgo sea significativamente m\u00e1s peligroso: cualquiera que busque en GitHub puede potencialmente encontrar y acceder a esas credenciales. En ese punto, los datos confidenciales ya no est\u00e1n en manos de un solo actor de amenazas, sino que est\u00e1n expuestos a cualquiera\u00bb.<\/p>\n

Cuando se le contact\u00f3 para hacer comentarios, Bitwarden confirm\u00f3 el incidente, pero enfatiz\u00f3 que no se accedi\u00f3 a datos del usuario final como parte del ataque. La declaraci\u00f3n completa se reproduce textualmente a continuaci\u00f3n:<\/p>\n

El equipo de seguridad de Bitwarden identific\u00f3 y contuvo un paquete malicioso que se distribuy\u00f3 brevemente a trav\u00e9s de la ruta de entrega npm para @bitwarden\/cli@2026.4.0 entre las 5:57 p.m. y las 7:30 p.m. (ET) el 22 de abril de 2026, en relaci\u00f3n con un incidente m\u00e1s amplio en la cadena de suministro de Checkmarx.<\/em><\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La investigaci\u00f3n no encontr\u00f3 evidencia de que se hubiera accedido a los datos de la b\u00f3veda del usuario final o que estuvieran en riesgo, o que los datos o sistemas de producci\u00f3n estuvieran comprometidos. Una vez que se detect\u00f3 el problema, se revoc\u00f3 el acceso comprometido, la versi\u00f3n maliciosa de npm qued\u00f3 obsoleta y se iniciaron medidas de reparaci\u00f3n de inmediato.<\/em><\/p>\n

El problema afect\u00f3 el mecanismo de distribuci\u00f3n de npm para la CLI durante esa ventana limitada, no la integridad del c\u00f3digo base leg\u00edtimo de la CLI de Bitwarden ni los datos almacenados de la b\u00f3veda.<\/em><\/p>\n

Los usuarios que no descargaron el paquete de npm durante esa ventana no se vieron afectados. Bitwarden ha completado una revisi\u00f3n de los entornos internos, las rutas de lanzamiento y los sistemas relacionados, y no se han identificado productos o entornos afectados adicionales en este momento. Se est\u00e1 emitiendo un CVE para Bitwarden CLI versi\u00f3n 2026.4.0 en relaci\u00f3n con este incidente.<\/em> <\/p>\n

(Esta es una historia en desarrollo. Consulte para obtener m\u00e1s detalles).<\/em><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

CLI de Bitwarden se ha visto comprometido como parte de la campa\u00f1a de cadena de suministro Checkmarx recientemente descubierta y en curso, seg\u00fan nuevos hallazgos de JFrog y Socket. \u00abLa versi\u00f3n del paquete afectado parece ser @bitwarden\/cli@2026.4.0y el c\u00f3digo malicioso se public\u00f3 en ‘bw1.js’, un archivo incluido en el contenido del paquete\u00bb, dijo la empresa […]<\/p>\n","protected":false},"author":1,"featured_media":576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[2044,249,133,1226,2043,1420,1880,24,250],"class_list":["post-649","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-bitwarden","tag-cadena","tag-campana","tag-checkmarx","tag-cli","tag-comprometida","tag-curso","tag-cyberdefensa-mx","tag-suministro"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/649","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=649"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/649\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/576"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=649"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=649"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=649"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}