Supply ChainCheckmarx/TeamPCPBitwarden CLI npmShai-Hulud

Bitwarden CLI 93 Dakika Trojenleştirildi: Shai-Hulud Solucanı 10M+ Kullanıcıyı ve Tüm CI/CD Kimlik Bilgilerini Hedef Aldı

📅 22–23 Nisan 2026  ·  📰 THN / Endor Labs / Socket / JFrog / Bitwarden  ·  TLP:WHITE

93dk
AKTİF PENCERE
22 Nisan 2026, 17:57–19:30 ET — tam 93 dakika boyunca Bitwarden CLI (@bitwarden/cli@2026.4.0), Checkmarx/Shai-Hulud kampanyasının en tehlikeli halkasıyla dağıtıldı. Saldırganlar Bitwarden CI/CD'deki bir GitHub Actions iş akışını ele geçirerek npm'in güvenilir yayım mekanizmasını bypass etti. 334 kez indirildi.

Shai-Hulud solucanının yetenekleri:
  • GitHub PAT, npm tokenları, SSH anahtarları toplama
  • AWS access key, GCP servis hesabı, Azure kimlik bilgisi hırsızlığı
  • MCP yapılandırması ve AI kodlama araçlarından credential çekme
  • Bulunan GitHub token'larıyla diğer paketlere otomatik yayılma
  • RSA-şifreli verileri public GitHub repo'ya yükleme (C2)
Neden önemli: Endor Labs bu vakayı "tarihin en kapsamlı npm tedarik zinciri zararlılarından biri" olarak nitelendirdi. npm'in Trusted Publishing mekanizması bypass edildi — upstream GitHub Actions zehirlenerek güvenilir kanalın kendisi kullanıldı. Bu, Axios → Trivy → KICS → LiteLLM → Telnyx saldırılarıyla aynı aktörün 6. büyük npm/PyPI dalgası.
▸ ÖNERİLEN AKSİYONLAR
@bitwarden/cli@2026.4.0 kurulduysa: kaldırın, npm cache temizleyin, bw1.js ve bw_setup.js silin
Tüm credential'ları ihlal edilmiş kabul edin: GitHub PAT, npm token, AWS/GCP/Azure key, SSH anahtarları
GitHub Actions iş akışlarını ve repo artifact'larını yetkisiz çalıştırma için inceleyin
CI/CD'de npm bağımlılıklarını hash bazlı pin'leyin — sürüm numarası yeterli değil
ignore-scripts=true politikasını CI/CD ortamlarında aktifleştirin
AI kodlama araçlarının config dosyalarını credential içermeyen lokasyonlara taşıyın