Bitwarden Hackeado: Revisa Tus Secretos Ahora

El mundo de la seguridad digital se tambaleó con la revelación de que Bitwarden, un pilar de la gestión segura de contraseñas, sufrió un profundo ataque a la cadena de suministro. Esto no fue una brecha en su servicio de bóveda principal, sino un compromiso de su Interfaz de Línea de Comandos (CLI) oficial, una herramienta en la que confían los desarrolladores de todo el mundo para gestionar secretos. Los atacantes convirtieron una utilidad fundamental para desarrolladores en un caballo de Troya.

Código malicioso se infiltró en el paquete npm `@bitwarden/cli`, apuntando específicamente a la versión 2026.4.0. La brecha se originó en un GitHub GitHub Actionss comprometido dentro del pipeline CI/CD de Bitwarden, permitiendo a un atacante inyectar un archivo llamado `bw1.js` directamente en la versión legítima. Esto significó que cualquiera que descargara la actualización oficial recibió un paquete contaminado desde la fuente.

Afortunadamente, la ventana de ataque se mantuvo notablemente estrecha. La versión maliciosa fue distribuida entre las 5:57 PM y las 7:30 PM ET del 22 de abril de 2026, detectada y eliminada en aproximadamente 1.5 horas. A pesar de esta rápida respuesta, alrededor de 334 usuarios descargaron el paquete comprometido, enfrentando graves riesgos para sus entornos de desarrollo locales y datos sensibles.

Una herramienta de desarrollador comprometida representa un escenario de pesadilla para cualquier organización. Un ataque de este tipo elude las defensas perimetrales convencionales, incrustando directamente malware en el entorno de confianza de los ingenieros. El código inyectado tenía como objetivo recolectar una amplia gama de credenciales críticas: - Tokens de autenticación de GitHub, extraídos directamente de la memoria del proceso `GitHub Runner.Worker` y de las variables de entorno. - Credenciales de la nube para AWS, Azure y GCP. - Claves SSH privadas. - Secretos locales para servidores Claude y MCP. - Archivos de configuración y tokens de npm. - Historial de shell.

El malware, parte de una campaña vinculada a incidentes anteriores del "Shai-Hulud-Shai-Hulud-Hulud Attack", también incluía un interruptor de apagado, terminando la ejecución si se detectaban configuraciones regionales de sistema rusas. Para otras víctimas, estableció persistencia inyectando hooks en los perfiles `.bashrc` o `.zshrc`, asegurando el acceso continuo. Los datos robados fueron luego exfiltrados a repositorios públicos de GitHub creados bajo la cuenta de la víctima, disfrazados como actividad legítima de desarrollador usando nombres con temática de Dune.

El Shai-Hulud-Shai-Hulud-Hulud Attack contra la CLI de Bitwarden se originó en lo profundo de su propia infraestructura de desarrollo. Los atacantes comprometieron un flujo de trabajo de GitHub GitHub Actionss, un componente crítico del pipeline de Integración Continua/Entrega Continua (CI/CD) de Bitwarden. Esta brecha proporcionó un conducto directo y no autorizado para inyectar código malicioso en las versiones de software oficiales, eludiendo las puertas de seguridad estándar.

Aprovechando este acceso ilícito, el actor de la amenaza inyectó un archivo llamado `bw1.js` directamente en el proceso de construcción para `@bitwarden/cli` versión 2026.4.0. Este script malicioso fue diseñado para ejecutarse a través de un hook `preinstall`, asegurando su activación al instalar el paquete. La inyección envenenó eficazmente el paquete legítimo en su origen, convirtiendo una actualización de confianza en un caballo de Troya para usuarios desprevenidos.

Con `bw1.js` incrustado y disfrazado, el GitHub GitHub Actionss GitHub Runner comprometido procedió a publicar el paquete contaminado en el registro oficial de npm bajo el nombre legítimo de Bitwarden. Los usuarios que descargaron la actualización aparentemente auténtica estaban descargando sin saberlo malware disfrazado de una versión oficial de Bitwarden. Este método sofisticado permitió que el código malicioso eludiera las comprobaciones de seguridad típicas y se distribuyera a través de un canal verificado.

Este incidente ejemplifica un sofisticado supply chain attack, donde los adversarios atacan canales de desarrollo y distribución de software confiables en lugar de atacar directamente a los usuarios finales. En su lugar, el atacante envenena un componente o servicio ampliamente utilizado, convirtiendo una fuente confiable en un vector insidioso para el malware. El objetivo es infectar a una amplia base de usuarios que confían implícitamente en el proveedor upstream, utilizando esa confianza en su contra.

La ventana de impacto del ataque fue afortunadamente breve, durando aproximadamente 1.5 horas entre las 5:57 PM y las 7:30 PM ET del 22 de abril de 2026. Durante este período crítico, aproximadamente 334 usuarios descargaron la versión comprometida antes de que Bitwarden detectara y eliminara el paquete malicioso. Esta detección rápida limitó la exposición potencial, pero resalta la naturaleza insidiosa y el peligro inmediato de tales violaciones de pipeline.

La versión comprometida `@bitwarden/cli` 2026.4.0 inició su carga maliciosa a través de un `preinstall` hook incrustado en el archivo `package.json`. Este mecanismo insidioso aseguró que el script `bw1.js` inyectado se ejecutara automáticamente en el momento en que un desarrollador descargaba la actualización oficial de npm. Esta ejecución instantánea proporcionó al Shai-Hulud-Shai-Hulud-Hulud Attack un control inmediato y sin obstáculos sobre el entorno de instalación de la víctima.

Los atacantes demostraron una sofisticación significativa al desplegar un Bun interpreter dedicado como su motor de ejecución principal. En lugar de depender de binarios de sistema potencialmente ausentes o monitoreados, el malware primero descargó Bun para ejecutar su script de raspado de memoria. Esta táctica inteligente aseguró un entorno de ejecución consistente y sigiloso en diversas configuraciones de desarrolladores, eludiendo eficazmente las medidas de seguridad comunes diseñadas para señalar el uso inusual de binarios.

El objetivo inmediato del script fue quirúrgico y altamente dirigido: se centró en el proceso `worker` de `GitHub GitHub Runner`. De este proceso crítico, extrajo meticulosamente datos sensibles directamente de la memoria activa, incluyendo tokens de autenticación activos de GitHub y una amplia gama de variables de entorno cruciales para el desarrollo y las operaciones de CI/CD. Este acceso directo a la memoria proporcionó una rica cosecha de credenciales.

El raspado de memoria representa una táctica particularmente insidiosa y difícil de detectar. Permite que el malware eluda los permisos tradicionales del sistema de archivos y muchas soluciones de detección y respuesta de endpoints (EDR) que monitorean principalmente el acceso a archivos. Las credenciales, una vez cargadas en la memoria para un uso legítimo, se vuelven vulnerables sin que el malware necesite interactuar con sus ubicaciones almacenadas de forma segura en el disco, lo que dificulta el análisis forense.

Esta fase inicial cosechó una amplia gama de secretos de alto valor, comprometiendo directamente la huella operativa del desarrollador: - Tokens de autenticación activos de GitHub - Credenciales de nube de AWS, GCP y Azure - Claves SSH privadas - Secretos locales para servidores Claude y MCP, y tokens de configuración de npm

Un barrido tan exhaustivo, ejecutado tan temprano en la cadena de infección y desde la memoria, proporcionó a los atacantes acceso inmediato a infraestructura crítica y datos sensibles. El paquete malicioso fue distribuido brevemente durante aproximadamente 1.5 horas el 22 de abril de 2026, afectando a un estimado de 334 usuarios. Para una declaración completa sobre la respuesta a incidentes de Bitwarden, consulte la Declaración de Bitwarden sobre el Incidente de la Cadena de Suministro de Checkmarx - Avisos.

Una vez que el script malicioso `bw1.js` estableció su cabeza de playa a través del hook `preinstall`, inició un barrido profundo del sistema de archivos local del sistema comprometido. Esta búsqueda sistemática se dirigió a una amplia gama de secretos de desarrollador de alto valor y archivos de configuración sensibles, extendiéndose mucho más allá del raspado inicial de memoria de los tokens de autenticación de GitHub del proceso `GitHub GitHub Runner`. El objetivo del atacante era recolectar credenciales capaces de desbloquear entornos de nube completos e infraestructura crítica.

Los atacantes buscaron meticulosamente credenciales de la nube, reconociendo su inmenso valor para el movimiento lateral y la exfiltración de datos. El malware rastreó ubicaciones de configuración comunes en busca de tokens relacionados con Amazon Web Services (AWS), Google Cloud Platform (GCP) y Microsoft Azure. Comprometer estos otorga efectivamente acceso a toda la infraestructura en la nube de una víctima, desde buckets de almacenamiento y máquinas virtuales hasta bases de datos administradas y funciones sin servidor. Este nivel de acceso permite a un atacante tomar el control de operaciones comerciales críticas.

Más allá del acceso a la nube, el malware compiló una extensa lista de compras de otros secretos centrados en el desarrollador, cruciales para los flujos de trabajo de integración y despliegue continuos. Estos incluían: - Claves SSH privadas, críticas para el acceso remoto seguro a servidores, repositorios de código y pipelines de despliegue. - Archivos `.npmrc`, que a menudo contienen tokens de autenticación sensibles para registros privados de npm y gestión de paquetes. - Historial de shell, que ofrece información granular sobre comandos ejecutados previamente, revelando rutas sensibles, claves API o detalles de la red interna. - Secretos locales para herramientas de IA como Claude y servidores MCP, exponiendo el acceso a modelos propietarios, conjuntos de datos internos y recursos computacionales avanzados.

La posesión de estas credenciales robadas permite ataques posteriores catastróficos, mucho más dañinos que el compromiso inicial de una sola máquina. Los actores de amenazas podrían pivotar desde el entorno local de un desarrollador para infiltrarse en sistemas de producción, robar propiedad intelectual o lanzar ataques de cadena de suministro sofisticados contra otras organizaciones. El Ataque Shai-Hulud-Shai-Hulud-Hulud demostró una intención clara y metódica de aprovechar la confianza comprometida del desarrollador para una explotación sigilosa y generalizada y una ganancia financiera significativa. Esto hace que la rotación inmediata de credenciales y las auditorías del sistema sean imperativas para cualquiera que haya ejecutado la versión afectada 2026.4.0.

En lugar de enrutar los datos robados a un servidor de comando y control (C2) convencional, el malware empleó una técnica de exfiltración de datos notablemente innovadora. Los atacantes orquestaron la creación de repositorios públicos de GitHub completamente nuevos, directamente bajo la cuenta comprometida de la víctima. Este ingenioso método transformó la propia infraestructura de confianza de la víctima en un canal encubierto para la transferencia ilícita de datos.

Estos repositorios recién creados llevaban nombres distintivos, inspirados en la ciencia ficción, extraídos explícitamente de la saga *Dune* de Frank Herbert. Ejemplos específicos incluían: - 'Sandworm' - 'Fremen' - 'atreides' - 'sardaukar' Esta convención de nombres consistente sirvió como una firma clara para los actores de amenazas, vinculando explícitamente este incidente a la campaña más amplia y sofisticada Shai-Hulud-Shai-Hulud-Hulud Attack.

El malware luego comprometió los datos cifrados y extensamente robados —incluyendo credenciales críticas de la nube, SSH keys y GitHub tokens— a estos repositorios de GitHub propiedad de la víctima. Al imitar meticulosamente la actividad legítima de los desarrolladores, como la subida de actualizaciones de código, el tráfico malicioso se mezcló sin problemas con las operaciones de red rutinarias. Esta estrategia sutil permitió que la exfiltración eludiera muchos network security monitors tradicionales, que a menudo confían en las conexiones salientes a GitHub.

El cifrado proporcionó una capa crítica de protección para la información sensible antes de su compromiso público. Esta ofuscación aseguró que, incluso si los equipos de seguridad descubrían finalmente los repositorios maliciosos, los datos robados en bruto permanecieran inaccesibles sin la clave de descifrado específica. El enfoque de múltiples etapas, que combina la exfiltración sigilosa con un cifrado robusto, demostró una alta planificación y seguridad operativa por parte de los actores de amenazas.

Aunque los repositorios de GitHub sirvieron como el canal principal y sigiloso de exfiltración, el malware también incorporó un C2 endpoint de respaldo. Esta ruta de comunicación secundaria apuntaba a `audit.checkmarx[.]cx`, proporcionando una vía alternativa para la transmisión de datos si el método de GitHub encontraba problemas. La inclusión de un C2 de respaldo tan resistente subraya aún más la naturaleza persistente de este "Shai-Hulud-Shai-Hulud-Hulud Attack" y la determinación de sus operadores para asegurar la recuperación de datos.

Esta elaborada y multifacética estrategia de exfiltración destaca vívidamente la profunda comprensión de los atacantes sobre los flujos de trabajo de desarrollo modernos y los puntos ciegos de seguridad comunes. Al armar plataformas de confianza como GitHub y mezclar sus GitHub Actionss con el tráfico rutinario de los desarrolladores, los actores de amenazas aumentaron significativamente sus posibilidades de un robo de datos exitoso y no detectado. Toda la operación demostró un esfuerzo calculado para permanecer ocultos el mayor tiempo posible.

El código malicioso en el paquete comprometido de Bitwarden CLI contenía la cadena explícita 'Shai-Hulud-Hulud: The Third Coming', vinculando directamente este incidente a una campaña de amenazas más grande y en curso. Este no fue un evento aislado, sino otra iteración de un sofisticado ataque a la cadena de suministro. Los actores de amenazas consistentemente marcan sus operaciones con un elaborado tema de Dune, usando nombres como "Sandworm" y "Fremen" para sus repositorios de exfiltración de datos.

La campaña Shai-Hulud-Hulud tiene un historial documentado. Investigadores identificaron previamente otro ataque significativo a la cadena de suministro con temática de Dune el año pasado, solidificando la metodología distintiva del grupo. Este uso recurrente de nombres específicos con temática de Dune para repositorios públicos de GitHub —donde se comprometieron datos cifrados robados— hace que el tráfico malicioso parezca actividad legítima de desarrolladores, eludiendo inteligentemente los monitores de red.

Los autores del malware incrustaron un kill switch único dentro del código malicioso, diseñado meticulosamente para verificar las configuraciones regionales del sistema ruso. Si la configuración de idioma o región del sistema indicaba un entorno ruso, el malware terminaba inmediatamente su ejecución, impidiendo cualquier actividad maliciosa adicional. Este mecanismo de autoconservación permitió a los atacantes operar con un grado de negación plausible, evitando objetivos dentro de su jurisdicción percibida.

Esta táctica es una estrategia común entre ciertos actores de amenazas, especialmente aquellos que operan desde regiones geopolíticas específicas. Al evitar sistemáticamente los sistemas con configuraciones regionales rusas, estos grupos buscan evadir la investigación y el posible enjuiciamiento por parte de sus agencias locales de aplicación de la ley, creando efectivamente un refugio seguro para sus operaciones. La campaña "Shai-Hulud-Hulud: The Third Coming" demuestra claramente esta técnica de evasión calculada.

Más allá de su terminación condicional, el malware estableció un robusto mecanismo de persistencia en los sistemas comprometidos. Inyectó 'hooks' directamente en los perfiles de shell del usuario, apuntando específicamente a los archivos de configuración `.bashrc` o `.zshrc`. Esta sutil modificación aseguró que el script malicioso se ejecutaría automáticamente cada vez que el usuario abriera una nueva sesión de terminal, manteniendo un punto de apoyo persistente y oculto dentro del entorno de desarrollo.

Esta puerta trasera representa un peligro significativo a largo plazo, que se extiende mucho más allá del impacto inmediato del paquete `Bitwarden CLI` comprometido. Incluso si los usuarios afectados eliminaron el paquete `npm` inicial, las líneas inyectadas en sus perfiles de shell podrían permanecer, reejecutando silenciosamente el malware en futuras sesiones y continuando la exfiltración de datos. Una remediación exhaustiva exige una inspección manual y una limpieza meticulosa de estos archivos de configuración críticos para eliminar verdaderamente la amenaza persistente.

Si instalaste o actualizaste `@bitwarden/cli` a la versión 2026.4.0 entre las 5:57 PM y las 7:30 PM ET del 22 de abril de 2026, considera tu sistema comprometido. Aproximadamente 334 desarrolladores descargaron este paquete malicioso, lo que hace que las `GitHub Actions` inmediatas y decisivas sean críticas. El Shai-Hulud-Shai-Hulud-Hulud Attack fue sofisticado, diseñado para una penetración profunda y persistencia.

Tu primera y más urgente tarea implica una rotación exhaustiva de todas las credenciales potencialmente expuestas. El malware rastreó activamente la memoria y los archivos locales en busca de información sensible. Esto incluye: - GitHub tokens: Revoca todos los tokens de acceso personal y las autorizaciones OAuth conectadas a tu cuenta de GitHub. Genera nuevos tokens fuertes con el principio de mínimo privilegio. - Cloud provider keys: Invalida y regenera inmediatamente todas las claves API y credenciales de acceso para AWS, GCP y Azure. Audita los registros en busca de actividad sospechosa después del compromiso. - SSH keys: Genera pares de claves SSH completamente nuevos. Elimina las claves públicas antiguas de todos los servidores y servicios, asegurando que no quede acceso residual para los atacantes.

A continuación, realiza una auditoría exhaustiva de tu cuenta de GitHub. El malware creó nuevos repositorios públicos bajo tu propiedad como un canal de exfiltración, utilizando nombres temáticos de Dune distintivos como "Sandworm", "Fremen", "atreides" o "sardaukar". Busca y elimina sistemáticamente cualquier repositorio desconocido o recién creado que coincida con estos patrones. Esta `GitHub Actions` cierra una ruta principal de salida de datos.

Más allá de la limpieza de credenciales y repositorios, examina tus configuraciones de shell locales en busca de persistencia. El script `bw1.js` inyectado estableció persistencia modificando los archivos de perfil de shell. Inspecciona cuidadosamente `.bashrc`, `.zshrc`, `.profile` y otros scripts de inicialización de shell relevantes en busca de comandos, 'hooks' o archivos de origen desconocidos. Elimina cualquier línea que parezca sospechosa o que no haya sido añadida intencionalmente.

Finalmente, asegure la erradicación completa del paquete malicioso y proteja su CLI. Desinstale completamente `@bitwarden/cli` versión 2026.4.0 de su sistema. Verifique su eliminación y luego instale la última versión verificada y segura de la Bitwarden CLI desde fuentes oficiales. Este paso crítico elimina el vector de infección inicial y restaura la integridad de su herramienta de gestión de contraseñas. Considere un escaneo completo del sistema con software antivirus de buena reputación como precaución adicional. Este enfoque multifacético es esencial para recuperarse de esta sofisticada brecha en la cadena de suministro.

El reciente compromiso de Bitwarden de su `@bitwarden/cli` versión 2026.4.0 ilustra claramente la creciente amenaza a las cadenas de suministro de software. Los atacantes inyectaron código malicioso en un paquete de confianza, demostrando cómo un único punto de fallo dentro de una pipeline de desarrollo puede propagarse, afectando potencialmente a miles de usuarios. Este Shai-Hulud-Shai-Hulud-Hulud Attack subraya la necesidad crítica de vigilancia más allá de las defensas perimetrales tradicionales, centrándose directamente en la integridad de los procesos de construcción y lanzamiento.

Los entornos CI/CD, especialmente aquellos que aprovechan GitHub GitHub Actionss, se han convertido en objetivos principales para actores de amenazas sofisticados. Estos sistemas automatizados poseen permisos elevados, acceso a una amplia gama de credenciales sensibles (como tokens de la nube y SSH keys), y control directo sobre el ciclo de vida de lanzamiento oficial del software. Comprometer una CI/CD pipeline ofrece a un atacante un conducto directo y de alta confianza para inyectar malware en distribuciones oficiales, a menudo eludiendo muchas comprobaciones de seguridad tradicionales y llegando a los usuarios finales en el origen.

Implementar el principio de privilegio mínimo para todos los tokens CI/CD, cuentas de servicio y acceso a GitHub GitHub Runner es innegociable. Conceder solo los permisos mínimos necesarios limita drásticamente el radio de impacto en caso de que un componente o credencial se vea comprometido. Los desarrolladores y los equipos de seguridad deben revisar y revocar rigurosamente los permisos excesivos para los procesos de trabajo automatizados y los agentes de compilación, asegurándose de que solo puedan realizar sus funciones designadas y nada más.

La seguridad moderna exige un enfoque de múltiples capas para la integridad de CI/CD, yendo más allá de las estrategias centradas en el perímetro. Las prácticas esenciales incluyen el dependency pinning, que bloquea versiones específicas de todos los paquetes upstream para evitar que se introduzcan cambios inesperados o maliciosos. La firma de paquetes, ejemplificada por iniciativas como Sigstore, proporciona garantías criptográficas del origen e integridad de un paquete, permitiendo a los consumidores verificar que el software no ha sido alterado desde su creación.

La monitorización continua de la actividad de la CI/CD pipeline y la integridad de los artefactos es crucial para la detección temprana de anomalías. Las organizaciones deben implementar un registro y alertas robustos para cualquier cambio no autorizado en los scripts de compilación, pasos de compilación sospechosos o egreso de red inesperado de los agentes de compilación. Mantenerse informado sobre las amenazas emergentes y las mejores prácticas es vital; para obtener una visión más profunda de las implicaciones de tales ataques, lea más sobre el compromiso de Bitwarden CLI Bitwarden CLI password manager trojanized in supply chain attack - CSO Online.

La vulneración del paquete oficial CLI de Bitwarden, específicamente la versión 2026.4.0 de `@bitwarden/cli`, representa una profunda erosión de la confianza dentro de la comunidad de código abierto. Cuando incluso una herramienta centrada en la seguridad de un proveedor de confianza es víctima de un ataque a la cadena de suministro originado en su propia CI/CD pipeline, cada desarrollador debe reconsiderar sus suposiciones sobre la integridad del software. El incidente, parte de la campaña más amplia "Shai-Hulud-Hulud: The Third Coming", subraya un cambio crítico en el panorama digital.

Los desarrolladores ya no pueden permitirse el lujo de la confianza implícita. Una mentalidad de seguridad de confianza cero es ahora primordial, tratando cada dependencia, cada librería y cada artefacto de compilación como potencialmente hostil. Esto significa ir más allá de simplemente buscar vulnerabilidades conocidas para verificar activamente la procedencia y la integridad de todo el código que entra en el ecosistema de un proyecto.

Esta nueva realidad exige un modelo de responsabilidad compartida. Los mantenedores de proyectos deben endurecer drásticamente sus pipelines de compilación, implementando controles rigurosos para GitHub GitHub Actions, la firma de código y la integridad de los artefactos. Deben examinar cada commit, cada fusión y cada paso de publicación con la mentalidad de un atacante, asegurando que las inyecciones de código no autorizadas, como el archivo `bw1.js` ejecutado a través de un `preinstall` hook en el caso de Bitwarden, se vuelvan prácticamente imposibles.

Los consumidores de software de código abierto tienen la misma responsabilidad. Los desarrolladores deben implementar procesos de verificación automatizados, incluyendo comprobaciones de firmas criptográficas y análisis estático, antes de integrar cualquier nueva dependencia. El aislamiento de entornos de desarrollo (sandboxing), el aprovechamiento del acceso de mínimo privilegio y la segmentación de redes se convierten en prácticas innegociables.

De ahora en adelante, la vigilancia es el arma más potente del desarrollador. Rote regularmente las credenciales, especialmente aquellas a las que apunta el malware, como los tokens de autenticación de GitHub, las credenciales de AWS, Azure y GCP, y las SSH keys. Monitoree activamente cualquier actividad inusual, como la creación de repositorios públicos de GitHub con temática de Dune utilizados para la exfiltración. La era de la confianza ciega ha terminado; la seguridad proactiva es el único camino hacia la protección.

¿Qué fue el hackeo del CLI de Bitwarden?

Fue un ataque a la cadena de suministro donde se publicó una versión maliciosa (2026.4.0) del paquete npm `@bitwarden/cli`. El malware fue diseñado para robar credenciales de desarrollador como claves de la nube, SSH keys y tokens de GitHub.

¿Se vieron afectados los datos de mi bóveda de Bitwarden por este ataque?

No. Bitwarden confirmó que el ataque se limitó a la herramienta CLI de npm y no comprometió los datos de la bóveda del usuario final, los sistemas de producción u otras aplicaciones de Bitwarden.

¿Qué es la campaña de ataque 'Shai-Hulud'?

Es una serie en curso de sofisticados ataques a la cadena de suministro, nombrados en honor a los gusanos de arena gigantes de las novelas de Dune. La campaña se dirige a los desarrolladores comprometiendo paquetes de software y CI/CD pipelines.

¿Cómo sé si fui afectado por el ataque al CLI de Bitwarden?

Si instaló o actualizó `@bitwarden/cli` a la versión 2026.4.0 entre las 5:57 PM y las 7:30 PM ET del 22 de abril de 2026, es probable que se haya visto afectado. Debe rotar todas las credenciales de la nube, SSH y GitHub inmediatamente.