Ein ausgeklügelter Angriff auf die Software-Lieferkette zeigt, wie ein einziger npm-Installationsbefehl Cloud-Zugangsdaten, SSH-Schlüssel und sogar Konfigurationsdateien von KI-Tools gefährden kann.
Die Sicherheitsforscher von JFrog haben ein bösartiges npm-Paket entdeckt, das als offizielles Bitwarden-CLI-Tool getarnt war. Das unter @bitwarden/cli in Version 2026.4.0 veröffentlichte Paket ist keine plumpe Fälschung, sondern eine gekaperte Version des echten Bitwarden-CLI, dessen Ausführungspfad so manipuliert wurde, dass beim Installationsbefehl npm install automatisch und unbemerkt eine Schadsoftware startet.
Wie die Übernahme funktioniert
Das bösartige Paket übernimmt vollständig das Erscheinungsbild von Bitwarden, um keinen Verdacht zu erregen. Entscheidend sind zwei manipulierte Stellen in der Paketkonfiguration: Sowohl das Installations-Skript als auch der Einstiegspunkt für den bw-Befehl verweisen auf eine eingeschleuste Loader-Datei, die beim Installationsvorgang automatisch ausgeführt wird. Diese lädt bei Bedarf die JavaScript-Laufzeitumgebung Bun von GitHub nach und startet damit die eigentliche, verschleierte Schadroutine. Eine Technik, die gängige Sicherheitsmechanismen gezielt umgeht.
Systematischer Zugriff auf den Entwickler-Werkzeugkasten
Einmal aktiv, durchsucht die Schadsoftware das System nach einer auffällig breiten Palette sensibler Daten: SSH-Schlüssel, Git- und npm-Zugangsdaten, Shell-Verlaufsdateien, AWS-, GCP- und Azure-Secrets sowie GitHub-Token. Besonders bemerkenswert ist, dass auch Konfigurationsdateien gängiger KI-Entwicklungstools gezielt erfasst werden. Ein Hinweis darauf, dass die Angreifer moderne Entwicklungsumgebungen und deren Eigenheiten genau kennen.
GitHub als Werkzeug der Angreifer
Die gestohlenen Daten werden verschlüsselt an einen kontrollierten Server übermittelt. Ist dieser nicht erreichbar, weicht die Schadsoftware auf GitHub selbst aus: Sie legt Daten in Repositories ab, die im Konto des Opfers erstellt werden, und nutzt öffentliche Commit-Nachrichten als verdeckten Kommunikationskanal. Erbeutete GitHub-Token werden zudem aktiv missbraucht, um über GitHub Actions weitere Geheimnisse aus automatisierten Workflows abzugreifen.
Wer steckt dahinter, und wie schützt man sich?
Die Sicherheitsforscher von JFrog ordnen den Angriff der Bedrohungsgruppe TeamPCP zu. Die Schadsoftware enthält auffällige Anspielungen auf Frank Herberts Dune-Romane und überschneidet sich thematisch mit einer zuvor dokumentierten Kampagne namens „Shai-Hulud”, wenngleich eine direkte Verbindung zwischen beiden Akteuren nicht belegt ist.
Der Fall steht exemplarisch dafür, wie ausgereift Supply-Chain-Angriffe auf das npm-Ökosystem mittlerweile sind. Angreifer kapern längst nicht mehr nur obskure Pakete, sondern greifen gezielt vertrauenswürdige Tools an. Dass dabei zunehmend auch KI-Assistenten und Automatisierungswerkzeuge ins Visier genommen werden, verdeutlicht: Die Angriffsfläche moderner Entwicklungsumgebungen wächst mit jedem neuen Tool, das Zugang zu sensiblen Systemen erhält.
Wer @bitwarden/cli@2026.4.0 installiert hat, sollte sämtliche Zugangsdaten auf dem betroffenen System als kompromittiert betrachten und umgehend erneuern, GitHub-Actions-Workflows auf unautorisierte Aktivitäten prüfen und die bekannten Exfiltrationsdomains auf Netzwerkebene sperren. Grundsätzlich empfehlen die Forscher, automatische Installations-Skripte in npm zu deaktivieren sowie Software-Composition-Analysis-Werkzeuge einzusetzen, die manipulierte Pakete bereits vor der Installation erkennen. Im npm-Ökosystem ist ein bekannter Paketname schon lange kein Vertrauensbeweis mehr.
Die komplette Untersuchung der Sicherheitsforscher von JFrog finden Sie hier: https://research.jfrog.com/post/bitwarden-cli-hijack/TeamPCP kapert Bitwarden-Paket auf npm
Weitere Artikel
JFrog entdeckt schwere Sicherheitslücke in React Native CLI
Softwaresicherheit im Rückblick – Lehren aus 2024 und Wege zu mehr Resilienz in 2025
JFrog untersucht neue Sicherheitslücken in Curl und libcurl
Analyse neuer „unsichtbarer“ npm-Malware: Umgehung von Sicherheitsüberprüfungen dank manipulierter Versionen der Softwarepakete