Bitwarden CLI Terkena Serangan Rantai Pasokan Checkmarx, Ini Fakta Lengkapnya

Bitwarden CLI versi 2026.4.0 baru-baru ini mengalami kompromi sebagai bagian dari kampanye rantai pasokan Checkmarx yang sedang berlangsung, menurut temuan terbaru dari perusahaan keamanan siber Socket.

Socket menjelaskan, "Paket yang terdampak adalah @bitwarden/[email protected], dan kode berbahaya ditemukan dalam file 'bw1.js' yang termasuk dalam isi paket tersebut."

Perusahaan tersebut menambahkan bahwa serangan ini diduga memanfaatkan GitHub Action yang telah dikompromikan dalam pipeline CI/CD Bitwarden, metode yang sama dengan yang ditemukan pada beberapa repositori lain dalam kampanye Checkmarx ini.

Modus Operandi Serangan Rantai Pasokan

Dalam unggahan di platform X, JFrog mengungkapkan bahwa versi paket berbahaya tersebut "mencuri token GitHub/npm, file .ssh, .env, riwayat shell, GitHub Actions, dan rahasia cloud, kemudian mengekstrak data tersebut ke domain privat dan sebagai commit di GitHub."

Walaupun versi berbahaya ini sudah tidak tersedia lagi di npm, Socket menegaskan bahwa metode kompromi yang digunakan masih sama, yakni melalui celah GitHub Actions dalam rantai pasokan seperti yang terjadi pada kampanye Checkmarx sebelumnya.

Para pelaku ancaman diketahui menyalahgunakan token GitHub yang dicuri untuk menyuntikkan workflow GitHub Actions baru yang berfungsi untuk menangkap rahasia yang dapat diakses selama proses workflow berjalan. Selain itu, kredensial npm yang diperoleh digunakan untuk mendorong versi berbahaya paket agar dapat didistribusikan ke pengguna lain.

Komentar Pakar Keamanan

Menurut peneliti keamanan Adnan Khan, pelaku menggunakan workflow berbahaya untuk menerbitkan Bitwarden CLI yang terinfeksi. Khan menyatakan, "Saya yakin ini adalah kali pertama sebuah paket menggunakan metode penerbitan terpercaya npm berhasil dikompromikan."

Serangan ini diduga dilakukan oleh kelompok peretas yang dikenal sebagai TeamPCP, yang juga menjadi sasaran kampanye Checkmarx. Hingga saat ini, akun X milik TeamPCP telah disuspend karena melanggar aturan platform.

Implikasi dan Dampak Serangan

• Pencurian Token: Mendapatkan akses ke token GitHub dan npm berpotensi membuka akses penuh ke repositori dan paket lain.
• Eksfiltrasi Data Rahasia: Data sensitif seperti variabel lingkungan (.env), kunci SSH, dan riwayat shell ikut bocor ke pelaku.
• Penyebaran Malware: Versi berbahaya paket disebarkan ke pengguna downstream, memperluas dampak serangan.
• Kerugian Kepercayaan: Keamanan rantai pasokan open source menjadi sorotan, dan kepercayaan pengguna terhadap Bitwarden bisa terdampak.

Menurut laporan The Hacker News, serangan rantai pasokan seperti ini semakin marak, menandai ancaman serius terhadap ekosistem open source dan pengembangan perangkat lunak modern.

Analisis Redaksi

Menurut pandangan redaksi, kompromi Bitwarden CLI dalam kampanye Checkmarx ini menandai game-changer dalam isu keamanan rantai pasokan perangkat lunak. Serangan yang berhasil memanfaatkan pipeline CI/CD dan GitHub Actions menunjukkan bahwa mekanisme otomatisasi yang selama ini dianggap efisien justru bisa menjadi celah besar jika tidak diamankan dengan ketat.

Lebih dari itu, kasus ini memperingatkan para pengembang dan organisasi untuk lebih waspada terhadap keamanan token akses dan kredensial yang digunakan dalam proses build dan deployment. Pelaku tidak hanya mencuri data, tetapi juga menyebarkan malware melalui paket resmi, yang bisa memicu efek domino ke banyak pengguna.

Kedepannya, penting bagi komunitas open source dan penyedia layanan seperti GitHub dan npm untuk memperkuat kontrol keamanan di pipeline otomatisasi dan proses penerbitan paket. Pengguna juga disarankan untuk segera memperbarui atau memverifikasi paket yang digunakan serta menerapkan prinsip least privilege pada token akses.

Perkembangan lebih lanjut dari kasus ini harus terus diikuti karena bisa menjadi preseden penting dalam mengantisipasi dan menanggulangi serangan rantai pasokan di masa depan.

Untuk mendapatkan update lebih lanjut dan informasi eksklusif tentang keamanan siber, ikuti kami di Google News, Twitter, dan LinkedIn.