Version 2026.4.0 des weit verbreiteten @bitwarden/cli npm-Pakets (78.000 wöchentliche Downloads) wurde als bösartig identifiziert. Das Paket enthält einen ausgeklügelten mehrstufigen Wurm zum Diebstahl von Anmeldeinformationen, der sich explizit nennt "Shai-Hulud: The Third Coming", ein direkter Verweis auf frühere Shai-Hulud Supply-Chain-Kampagnen, und zielt auf Anmeldeinformationen für Entwickelnde ab, einschließlich SSH-Schlüssel, Cloud Secrets und sogar MCP-Konfigurationsdateien.
Dies geschieht kurz nach der jüngsten Kompromittierung von Checkmarx, die ein Docker Hub-Projekt und eine VS Code-Erweiterung umfasste. Es wird angenommen, dass der während dieser Kampagne erlangte Zugang genutzt worden sein könnte, um die Publishing-Pipeline von Bitwarden zu kompromittieren. Bemerkenswert ist, dass der Angreifer die vertrauenswürdigen Publishing-Kontrollen von Bitwarden umgangen zu haben scheint, indem er die CI/CD-Pipeline selbst infizierte (publish-ci.yml in github.com/bitwarden/clients), wodurch ein bösartiges Paket unter dem legitimen @bitwarden Namen veröffentlicht werden kann.
Was geschah
@bitwarden/cli@2026.4.0 führte einen bösartigen preinstall Hook ein, der auf eine neue Datei verweist bw_setup.js. Dieser wird automatisch bei npm install ausgelöst, ohne dass eine Benutzerinteraktion erforderlich ist.
Phase 1: bw_setup.js
Ein plattformübergreifender Bootstrapper. Er erkennt das Betriebssystem und die Architektur des Opfers, lädt die legitime Bun JavaScript-Laufzeit direkt von github.com/oven-sh/bunherunter und verwendet sie zur Ausführung der Stage-2-Payload.
Phase 2: bw1.js
Eine 10 MB große, stark verschleierte Payload. Nach der Deobfuskierung handelt es sich um einen voll funktionsfähigen Credential Harvester und Supply-Chain-Wurm. Das Verhalten ähnelt stark früheren Shai-Hulud-Wellen, und es enthält sogar den String „Shai-Hulud: The Third Coming“, der als Beschreibung für das öffentliche GitHub-Repository, das es zur Exfiltration gestohlener Daten erstellt, fest codiert ist.
Diese Version ist durchgehend stark vom Dune-Universum inspiriert: Das Exfiltrations-Repo wird nach zufällig ausgewählten Dune-Vokabeln benannt (fremen-sandworm-441, harkonnen-melange-7, etc.), und die Payload enthält ein eingebettetes Anti-KI-Manifest, das versucht, in die Shell-Konfigurationsdateien der Opfer geschrieben zu werden.
Was es stiehlt
Die Malware scannt eine fest codierte Liste von hochsensiblen Credential-Dateien auf dem Rechner des Opfers:
~/.ssh/id* / ~/.ssh/id_ (Private SSH-Schlüssel)
~/.ssh/known_hosts (SSH-Host-Fingerprints)
~/.ssh/keys (zusätzlicher SSH-Schlüsselspeicher)
~/.aws/credentials (AWS-Zugriffsschlüssel)
~/.config/gcloud/credentials.db (GCP-Anmeldeinformationen)
~/.npmrc / .npmrc (npm-Authentifizierungstoken)
~/.claude.json / .claude.json (Claude Code-Authentifizierungstoken)
~/.claude/mcp.json (Claude Code MCP-Serverkonfigurationen, können API-Schlüssel und DB-Anmeldeinformationen enthalten)
~/.kiro/settings/mcp.json (Kiro MCP-Serverkonfigurationen)
.git/config (Git-Remote-URLs und Anmeldeinformationen)
.git-credentials (gespeicherte Git-Passwörter)
.env (Projektumgebungsvariablen und API-Schlüssel)
~/.bash_history / ~/.zsh_historyÜber lokale Dateien hinaus führt die Malware auch Kollektoren für AWS SSM Parameter Store, AWS Secrets Manager, Azure Key Vault und GCP Secret Manager unter Verwendung von Umgebungs-Cloud-Anmeldeinformationen aus. Wer dies auf einer Cloud-verbundenen Entwickelnde-Maschine oder einem CI-Runner ausführt, verliert seine gesamte Secrets-Infrastruktur.
Die Malware kontaktiert zwei C2-URLs:
hxxps://audit.checkmarx[.]cx/v1/telemetry— primäre C2, wird bei jeder Infektion direkt kontaktiert. Keine legitime Checkmarx-Domain;.cxist die Christmas Island TLD. Dies sofort blockieren.hxxps://api.github[.]com/search/commits?q=beautifulcastle%20— Fallback. Wenn die primäre C2 nicht erreichbar ist, durchsucht die Malware diese GitHub-Commits nach einem signierten Ersatz-Hostnamen.
Die Shai-Hulud Propagation
Wir fanden Hinweise auf eine Shai-Hulud-ähnliche Propagation. Gestohlene Daten werden in ein öffentliches GitHub-Repository exfiltriert, das unter dem eigenen Konto des Opfers erstellt wurde. Bei Opfern ohne Organisationsmitgliedschaft wird ihr GitHub-Token auch in einem öffentlichen GitHub-Commit-Dead-Drop veröffentlicht, wo andere infizierte Maschinen es finden und wiederverwenden können, um ihre eigene Exfiltration zu finanzieren. Bei Opfern mit Organisationsmitgliedschaft wird ihr Token nur innerhalb der verschlüsselten Exfil-Daten privat gehalten.
Wie Aikido dies erkennt
Wenn Sie ein Aikido-Benutzer sind, überprüfen Sie Ihren zentralen Feed und filtern Sie nach Malware-Problemen. Dies wird als kritisches Problem mit 100/100 angezeigt. Aikido führt nächtliche Rescans durch, aber wir empfehlen, jetzt einen manuellen Rescan auszulösen.
Wenn Sie noch kein Aikido-Benutzer sind, können Sie ein Konto erstellen und Ihre Repos verbinden. Unsere Malware-Abdeckung ist im kostenlosen Plan enthalten, keine Kreditkarte erforderlich.
Für eine umfassendere Abdeckung Ihres gesamten Teams bietet Aikidos Endpoint Protection Ihnen Transparenz und Kontrolle über die Softwarepakete, die auf den Geräten Ihres Teams installiert sind. Es deckt Browser-Erweiterungen, Code-Bibliotheken, IDE-Plugins und Build-Abhängigkeiten ab, alles an einem Ort. Stoppen Sie Malware, bevor sie installiert wird.
Für zukünftigen Schutz sollten Sie Aikido Safe Chain (Open Source) in Betracht ziehen. Safe Chain integriert sich in Ihren bestehenden Workflow, indem es npm-, npx-, yarn-, pnpm- und pnpx-Befehle abfängt und Pakete vor der Installation gegen Aikido Intel prüft.
IOCs
- Paket:
@bitwarden/cli(Version 2026.4.0) - Preinstall-Datei: bw_setup.js
- SHA256:
37f34aa3b86db6898065f3ca886031978580a15251f2576f6d24c3b778907336
- SHA256:
- Payload-Datei: bw1.js
- SHA256:
18f784b3bc9a0bcdcb1a8d7f51bc5f54323fc40cbd874119354ab609bef6e4cb
- SHA256:
- GitHub-Repo-Beschreibung:
Shai-Hulud: The Third Coming - Exfiltrations-Endpunkt:
audit.checkmarx[.]cx:443/v1/telemetry - Öffentliche Commit-Nachrichten, die mit
LongLiveTheResistanceAgainstMachines
