Versión 2026.4.0 del ampliamente utilizado @bitwarden/cli paquete npm (78.000 descargas semanales) ha sido identificado como malicioso. El paquete contiene un sofisticado gusano de robo de credenciales en múltiples etapas que se autodenomina explícitamente "Shai-Hulud: The Third Coming", una referencia directa a campañas anteriores de la cadena de suministro de Shai-Hulud, y se dirige a las credenciales de desarrollador, incluyendo claves SSH, secretos de la nube e incluso archivos de configuración MCP.
Esto ocurre poco después del reciente compromiso de Checkmarx, que incluyó un proyecto de Docker Hub y una extensión de VS Code. Se cree que el acceso obtenido durante esa campaña pudo haber sido aprovechado para comprometer la pipeline de publicación de Bitwarden. En particular, el atacante parece haber eludido los controles de publicación de confianza de Bitwarden infectando la propia pipeline de CI/CD (publish-ci.yml ES github.com/bitwarden/clients), permitiendo que un paquete malicioso fuera publicado bajo el nombre legítimo de @bitwarden nombre.
Qué Sucedió
@bitwarden/cli@2026.4.0 introdujo un malicioso preinstall hook que apunta a un nuevo archivo bw_setup.js. Esto se activa automáticamente en npm install sin necesidad de interacción del usuario.
Fase 1: bw_setup.js
Un bootstrapper multiplataforma. Detecta el sistema operativo y la arquitectura de la víctima, descarga el runtime legítimo de Bun JavaScript directamente desde github.com/oven-sh/bun, y lo utiliza para ejecutar la carga útil de la Fase 2.
Fase 2: bw1.js
Una carga útil de 10 MB fuertemente ofuscada. Una vez desofuscada, es un recolector de credenciales completo y un gusano de cadena de suministro. Su comportamiento refleja de cerca las olas anteriores de Shai-Hulud, e incluso contiene la cadena "Shai-Hulud: The Third Coming" codificada como descripción para el repositorio público de GitHub que crea para exfiltrar los datos robados.
Esta versión incluye una fuerte temática del universo Dune: el repositorio de exfiltración se nombra a partir de vocabulario aleatorio de Dune (fremen-sandworm-441, harkonnen-melange-7, etc.), y la carga útil contiene un manifiesto anti-IA incrustado que intenta escribir en los archivos de configuración de shell de las víctimas.
Qué roba
El malware escanea una lista codificada de archivos de credenciales de alto valor en la máquina de la víctima:
~/.ssh/id* / ~/.ssh/id_ (claves privadas SSH)
~/.ssh/known_hosts (huellas digitales de host SSH)
~/.ssh/keys (almacenamiento adicional de claves SSH)
~/.aws/credentials (claves de acceso de AWS)
~/.config/gcloud/credentials.db (credenciales de GCP)
~/.npmrc / .npmrc (tokens de autenticación de npm)
~/.claude.json / .claude.json (token de autenticación de Claude Code)
~/.claude/mcp.json (configuraciones del servidor MCP de Claude Code, puede contener claves API y credenciales de DB)
~/.kiro/settings/mcp.json (configuraciones del servidor MCP de Kiro)
.git/config (URLs remotas y credenciales de Git)
.git-credentials (contraseñas de Git almacenadas)
.env (variables de entorno del proyecto y claves API)
~/.bash_history / ~/.zsh_historyMás allá de los archivos locales, el malware también ejecuta recolectores para AWS SSM Parameter Store, AWS Secrets Manager, Azure Key Vault y GCP Secret Manager utilizando credenciales de cloud ambientales. Cualquiera que ejecute esto en una máquina de desarrollador conectada a la cloud o en un CI runner pierde toda su infraestructura de secretos.
El malware contacta con dos URLs de C2:
hxxps://audit.checkmarx[.]cx/v1/telemetry— C2 principal, contactado directamente en cada infección. No es un dominio legítimo de Checkmarx;.cxes el TLD de Christmas Island. Bloquee esto inmediatamente.hxxps://api.github[.]com/search/commits?q=beautifulcastle%20— de respaldo. Si el C2 principal está caído, el malware busca en estos commits de GitHub un nombre de host de reemplazo firmado.
La propagación de Shai-Hulud
Encontramos evidencia de propagación similar a Shai-Hulud. Los datos robados se exfiltran a un repositorio público de GitHub creado bajo la propia cuenta de la víctima. Para las víctimas sin membresía en una organización, su token de GitHub también se publica en un commit público de GitHub dead-drop donde otras máquinas infectadas pueden encontrarlo y reutilizarlo para financiar su propia exfiltración. Las víctimas con membresía en una organización mantienen su token privado solo dentro de los datos de exfiltración cifrados.
Cómo Aikido lo detecta
Si es usuario de Aikido, revise su feed central y filtre por problemas de malware. Esto aparecerá como un problema crítico de 100/100. Aikido realiza reescaneos cada noche, pero recomendamos activar un reescaneo manual ahora.
Si aún no es usuario de Aikido, puede crear una cuenta y conectar sus repositorios. Nuestra cobertura de malware está incluida en el plan gratuito, sin necesidad de tarjeta de crédito.
Para una cobertura más amplia en todo su equipo, el Endpoint Protection de Aikido le proporciona visibilidad y control sobre los paquetes de software instalados en los dispositivos de su equipo. Cubre extensiones de navegador, librerías de código, plugins de IDE y dependencias de compilación, todo en un solo lugar. Detenga el malware antes de que se instale.
Para una protección futura, considere Aikido Safe Chain (código abierto). Safe Chain se integra en su flujo de trabajo existente, interceptando comandos npm, npx, yarn, pnpm y pnpx y verificando los paquetes con Aikido Intel antes de la instalación.
IOCs
- Paquete:
@bitwarden/cli(versión 2026.4.0) - Archivo de preinstalación: bw_setup.js
- SHA256:
37f34aa3b86db6898065f3ca886031978580a15251f2576f6d24c3b778907336
- SHA256:
- Archivo de payload: bw1.js
- SHA256:
18f784b3bc9a0bcdcb1a8d7f51bc5f54323fc40cbd874119354ab609bef6e4cb
- SHA256:
- Descripción del repositorio de GitHub:
Shai-Hulud: The Third Coming - Endpoint de exfiltración:
audit.checkmarx[.]cx:443/v1/telemetry - Mensajes de commit públicos que empiezan por
LongLiveTheResistanceAgainstMachines
