Supply Chain Attack

Bitwarden-CLI kompromittiert: JFrog warnt vor TeamPCP-Angriff über npm-Paket

, JFrog | Autor: Herbert Wieler

Bitwarden-CLI kompromittiert: JFrog warnt vor TeamPCP-Angriff über npm-Paket

JFrog analysiert kompromittiertes Bitwarden-CLI-Paket im npm-Ökosystem

Ein einziges npm install genügt – und Angreifer erhalten Zugriff auf Cloud-Secrets, SSH-Schlüssel und sogar KI-Konfigurationen. Sicherheitsforscher von JFrog haben jetzt eine hochentwickelte Supply-Chain-Attacke auf das npm-Ökosystem aufgedeckt, bei der ein manipuliertes Bitwarden-Paket unbemerkt Schadcode nachlädt. Besonders brisant: Die Malware zielt nicht nur auf klassische Entwickler-Zugangsdaten, sondern explizit auch auf moderne KI- und Automatisierungsumgebungen.

Die Attacke betrifft das npm-Paket @bitwarden/cli in der Version 2026.4.0. Laut den Forschern handelt es sich nicht um eine einfache Kopie des offiziellen Tools von Bitwarden, sondern um eine gezielt manipulierte Variante des echten Bitwarden-CLI. Die Angreifer änderten zentrale Ausführungspfade innerhalb der Paketkonfiguration, sodass bereits während des Installationsvorgangs automatisch Schadcode gestartet wird – für Nutzer praktisch unsichtbar.

Manipulierte Installationsroutine aktiviert versteckte Malware

Der Angriff setzt an zwei entscheidenden Stellen des npm-Pakets an: am Installationsskript sowie am Einstiegspunkt des bw-Befehls. Beide verweisen auf eine eingeschleuste Loader-Datei, die beim npm install automatisch ausgeführt wird.

Die Loader-Komponente lädt bei Bedarf zunächst die JavaScript-Laufzeitumgebung Bun direkt von GitHub nach. Anschließend startet sie eine verschleierte Schadsoftware, die klassische Sicherheitsmechanismen gezielt umgehen soll. Durch die Nutzung legitimer Entwickler-Tools und bekannter Plattformen wirkt die Attacke auf den ersten Blick vollkommen unauffällig.

Malware durchsucht gezielt Entwickler- und KI-Umgebungen

Nach der Aktivierung beginnt die Malware systematisch mit der Suche nach sensiblen Daten auf kompromittierten Systemen. Im Fokus stehen unter anderem:

  • SSH-Schlüssel
  • Git- und npm-Credentials
  • Shell-Historien
  • AWS-, Azure- und GCP-Secrets
  • GitHub-Tokens

Besonders auffällig: Die Schadsoftware sammelt laut JFrog gezielt auch Konfigurationsdateien moderner KI-Entwicklungstools ein. Das deutet darauf hin, dass Angreifer inzwischen verstärkt KI-Workflows und automatisierte Entwicklungsumgebungen ins Visier nehmen. Damit zeigt der Vorfall, wie stark sich die Bedrohungslage im Bereich AI DevOps und Software-Lieferketten verändert. Entwickler-Tools mit weitreichenden Zugriffsrechten entwickeln sich zunehmend zu attraktiven Angriffszielen.

GitHub wird selbst zum Exfiltrationskanal

Für die Datenexfiltration nutzen die Angreifer zunächst einen kontrollierten Remote-Server. Ist dieser nicht erreichbar, greift die Malware auf eine besonders raffinierte Ausweichstrategie zurück: GitHub selbst.

Die Schadsoftware erstellt dabei Repositories im Konto des Opfers und missbraucht öffentliche Commit-Nachrichten als verdeckten Kommunikationskanal. Zusätzlich werden kompromittierte GitHub-Tokens aktiv genutzt, um über GitHub Actions weitere Secrets aus CI/CD-Workflows abzugreifen.

Die Kombination aus Supply-Chain-Angriff, Credential-Theft und Missbrauch legitimer Entwicklerplattformen macht die Kampagne besonders gefährlich.

JFrog ordnet Angriff TeamPCP zu

Die Forscher von JFrog schreiben die Kampagne der Bedrohungsgruppe „TeamPCP“ zu. Im Schadcode fanden sich mehrere Anspielungen auf die Dune-Romane von Frank Herbert. Zudem gibt es thematische Überschneidungen mit der bekannten Malware-Kampagne „Shai-Hulud“. Einen eindeutigen technischen Zusammenhang konnten die Analysten bislang jedoch nicht bestätigen.

Was Betroffene jetzt tun sollten

Wer @bitwarden/cli@2026.4.0 installiert hat, sollte laut JFrog umgehend reagieren:

  • sämtliche Zugangsdaten und Tokens erneuern
  • GitHub-Actions-Workflows auf verdächtige Aktivitäten prüfen
  • bekannte Exfiltrationsdomains blockieren
  • kompromittierte Systeme forensisch analysieren

Darüber hinaus empfehlen die Sicherheitsforscher, automatische npm-Installationsskripte grundsätzlich zu deaktivieren und Software-Composition-Analysis-Lösungen einzusetzen, um manipulierte Pakete frühzeitig zu erkennen.

Der Vorfall zeigt erneut: Im npm-Ökosystem reicht ein bekannter Paketname längst nicht mehr als Vertrauensnachweis aus. Moderne Supply-Chain-Angriffe setzen gezielt auf etablierte Entwicklerwerkzeuge – und zunehmend auch auf KI-nahe Infrastrukturen.