El director de seguridad de la información de Mist informó y reenfocó una advertencia del equipo de seguridad de Bitwarden: la versión 2026.4.0 de Bitwarden CLI, mediante el envío y la publicación a través de npm durante un período de 1.5 horas entre las 5:57 p.m. y las 7:30 p.m. (hora del Este de EE. UU.) del 22 de abril, había sido modificada y se retiró la versión del paquete npm malicioso que fue publicada; Bitwarden confirmó oficialmente que los datos del gestor de contraseñas y los sistemas de producción no se vieron afectados.
Detalles del ataque: objetivo de robo del payload malicioso bw1.js
El payload malicioso se ejecuta en silencio durante la instalación del paquete npm, recopilando los siguientes tipos de datos:
· Tokens de GitHub y npm
· Claves SSH
· Variables de entorno
· Historial de Shell
· Credenciales de la nube
· Documentos de carteras cifradas (incluyendo carteras MetaMask, Phantom y Solana)
Los datos robados se exfiltran a un dominio controlado por el atacante y se envían de forma persistente al repositorio de GitHub. Muchos equipos de criptomonedas usan Bitwarden CLI en flujos de automatización CI/CD para la inyección de claves y el despliegue; cualquier proceso que haya ejecutado una versión comprometida podría filtrar claves de billeteras de alto valor y credenciales de la API de los exchanges.
Pasos de respuesta de emergencia para usuarios afectados
Solo los usuarios que instalaron la versión 2026.4.0 a través de npm dentro de la ventana entre las 5:57 p.m. y las 7:30 p.m. (hora del Este de EE. UU.) del 22 de abril deben tomar las siguientes acciones: desinstalar inmediatamente la versión 2026.4.0; limpiar el caché de npm; rotar todas las credenciales sensibles como los API Token y las claves SSH; revisar actividades anómalas en GitHub y en los procesos CI/CD; actualizar a la versión 2026.4.1 ya corregida (o degradar a 2026.3.0, o descargar los binarios oficiales firmados desde el sitio oficial de Bitwarden).
Antecedentes del ataque: el mecanismo de publicación confiable de npm se explotó por primera vez
El investigador de seguridad Adnan Khan señaló que este ataque es un caso de la primera explotación conocida del mecanismo de publicación confiable de npm para invadir paquetes de software. Este ataque está relacionado con las actividades del ataque de la cadena de suministro TeamPCP; desde marzo de 2026, TeamPCP ha lanzado ataques similares contra herramientas de seguridad como Trivy, la plataforma de seguridad de código Checkmarx y herramientas de IA como LiteLLM, con el objetivo de incrustar herramientas para desarrolladores en el proceso de compilación CI/CD.
Preguntas frecuentes
¿Cómo confirmar si instalé la versión 2026.4.0 afectada?
Ejecute npm list -g @bitwarden/cli para ver las versiones instaladas. Si muestra 2026.4.0 y el tiempo de instalación está entre las 5:57 p.m. y las 7:30 p.m. (hora del Este de EE. UU.) del 22 de abril, se deben tomar medidas de inmediato. Incluso si no está seguro de la hora de instalación, se recomienda rotar activamente todas las credenciales relacionadas.
¿Se filtraron los datos del gestor de contraseñas de Bitwarden?
No. Bitwarden confirmó oficialmente que los datos del gestor de contraseñas de los usuarios y los sistemas de producción no se vieron comprometidos. Este ataque solo afectó el proceso de construcción del CLI; el objetivo del ataque eran credenciales para desarrolladores y documentos de carteras cifradas, no la base de datos de contraseñas de usuarios de la plataforma Bitwarden.
¿Cuál es el trasfondo más amplio de las actividades del ataque de la cadena de suministro TeamPCP?
Desde marzo de 2026, TeamPCP lanzó una serie de ataques contra herramientas para desarrolladores; los objetivos afectados incluyen Trivy, Checkmarx y LiteLLM. El ataque contra Bitwarden CLI es parte de la misma serie de actividades: el objetivo era incrustar herramientas para desarrolladores en el proceso de compilación CI/CD para robar credenciales de alto valor en los canales de automatización.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
La bolsa Zondacrypto enfrenta acusaciones de desvío de 350 millones de dólares, el director ejecutivo niega públicamente
Uno de los mayores exchanges de criptomonedas de Polonia, Zondacrypto, el CEO Przemysław Kral hizo una declaración pública el 16 de abril en redes sociales indicando que la plataforma no podía acceder a una billetera que contiene 4,503 bitcoins, con un valor actual de más de 350 millones de dólares. Kral publicó la dirección de la billetera implicada para refutar las acusaciones de desvío, pero dicha divulgación desencadenó de inmediato un gran volumen de retiros.
MarketWhisperhace1h
JPMorgan: KelpDAO elimina 20 mil millones en DeFi TVL debido a una vulnerabilidad; disminuye el atractivo para las instituciones
El equipo de investigación de JPMorgan, liderado por el analista Nikolaos Panigirtzoglou, publicó un informe el 23 de abril en el que señala que las vulnerabilidades de seguridad persistentes y el estancamiento del valor total bloqueado (TVL) están debilitando el atractivo de las finanzas descentralizadas (DeFi) para los inversores institucionales. El informe destaca que la vulnerabilidad de KelpDAO borró alrededor de 20 mil millones de dólares de DeFi TVL en cuestión de días, poniendo de manifiesto riesgos estructurales.
MarketWhisperhace2h
Alerta previa de Mist: la organización de hackers de Corea del Norte recluta y engaña a desarrolladores Web3, roba 12 millones en 3 meses
El mecanismo de seguridad SlowMist emitió una alerta de emergencia: la organización norcoreana Lazarus, a través de su suborganización HexagonalRodent, está lanzando ataques contra desarrolladores de Web3. Mediante tácticas de ingeniería social como ofertas de empleo remoto con altos salarios, induce a los desarrolladores a ejecutar código de evaluación de habilidades que incluye puertas traseras de malware, para finalmente robar criptoactivos. Según el informe de investigación de Expel, en los tres primeros meses de 2026, las pérdidas alcanzaron los 12 millones de dólares.
MarketWhisperhace2h
La DAO de CoW propone compensar a las víctimas del secuestro del dominio de cow.fi, hasta el 100% del importe de la pérdida
CoW DAO publicó una propuesta de compensación (CIP) en el foro de gobernanza el 23 de abril, proponiendo establecer un programa de subvenciones discrecionales para brindar una compensación de hasta el 100% de las pérdidas a las víctimas del incidente de secuestro del dominio cow.fi ocurrido el 14 de abril. Se estima que el evento causó pérdidas para los usuarios de aproximadamente 1.2 millones de dólares en USDC, y CoW DAO enfatizó que la compensación es de naturaleza voluntaria y como un beneficio especial, y no representa la admisión de ninguna responsabilidad legal.
MarketWhisperhace2h
CryptoQuant: KelpDAO Exploits detonan la crisis más grave desde 2024, el TVL de Aave se desploma un 33%
Según la evaluación de CryptoQuant del 23 de abril, el ataque de vulnerabilidad de KelpDAO ocurrido la semana pasada enfrentó a Aave con un riesgo potencial de deudas incobrables de entre 124 y 230 millones de dólares en un plazo de 72 horas; el TVL cayó 33% de golpe, las tasas de préstamo de USDT y USDC se dispararon del 3,4% al 14%, y la tasa de préstamo de ETH alcanzó el nivel más alto desde enero de 2024, con un 8%.
MarketWhisperhace2h
El grupo APT norcoreano HexagonalRodent roba $12M en cripto a desarrolladores de Web3 mediante ataques impulsados por IA
Mensaje de Gate News, 24 de abril — Un grupo APT patrocinado por el Estado norcoreano, al que se hace llamar HexagonalRodent, ha robado más de $12 millones en criptomonedas y NFT a desarrolladores de Web3 en el primer trimestre de 2026, según la firma de ciberseguridad Expel. El grupo comprometió 2,726 dispositivos de desarrolladores y obtuvo acceso a 26,584 carteras de cripto.
GateNewshace3h
