Bitwarden CLIのサプライチェーン攻撃で暗号資産ウォレット鍵流出の懸念

攻撃者がパスワードマネージャー「Bitwarden」のCLIバージョン2026.4.0を、悪意あるGitHub Actionを通じて乗っ取り、暗号資産ウォレットのデータや開発者の認証情報を窃取するマルウェアを仕込んだnpmパッケージを公開した。

セキュリティ企業Socketは4月23日にこの侵害を発見し、進行中のTeamPCPサプライチェーン攻撃キャンペーンと関連付けた。不正なnpmバージョンは既に削除済み。

マルウェアが暗号資産ウォレットとCI/CD認証情報を標的

悪意あるペイロードはbw1.jsというファイルに埋め込まれ、パッケージインストール時に実行され、GitHubおよびnpmトークン、SSH鍵、環境変数、シェル履歴、クラウド認証情報を収集した。

TeamPCPの広範な攻撃キャンペーンは、MetaMask、Phantom、ソラナのウォレットファイルなどの暗号資産ウォレットデータも狙っていることが別途確認されている。

JFrogによると、窃取されたデータは攻撃者が管理するドメインに送信されただけでなく、GitHubリポジトリに再度コミットされ、永続化の仕組みとしても利用された。

多くの暗号資産関連チームは、Bitwarden CLIを自動化CI/CDパイプラインでシークレット注入やデプロイ作業に利用している。問題のバージョンを使ったワークフローでは、価値の高いウォレット鍵や取引所API認証情報が露出した可能性がある。

セキュリティ研究者のアドナン・カーン氏は、npmの信頼済みパブリッシング機構を悪用したパッケージの侵害としては、今回が初めて確認されたケースだと指摘する。本機構は長期トークンの廃止を目的に設計された。

影響を受けたユーザーが取るべき対応

Socketは@bitwarden/cliバージョン2026.4.0をインストールしたユーザーに対し、露出した全てのシークレットを直ちにローテーションするよう推奨している。

ユーザーは2026.3.0へのダウングレード、またはBitwarden公式サイトから署名済みバイナリへの切り替えが必要。

TeamPCPは2026年3月以降、Trivy、Checkmarx、LiteLLMに対して同様の連鎖攻撃を展開し、ビルドパイプラインの深部で稼働する開発者ツールを標的としてきた。

Bitwardenのコアボールト自体は無事である。影響を受けたのはCLIのビルドプロセスのみとされる。