Bitwarden piraté : Vérifiez vos secrets maintenant

Le monde de la sécurité numérique a été secoué par la révélation que Bitwarden, une pierre angulaire de la gestion sécurisée des mots de passe, a subi une profonde supply chain attack. Il ne s'agissait pas d'une violation de son service de coffre-fort principal, mais plutôt d'un compromis de son Command Line Interface (CLI) officiel, un outil auquel les développeurs du monde entier font confiance pour gérer les secrets. Les attaquants ont transformé un utilitaire de développement fondamental en un cheval de Troie.

Un code malveillant a infiltré le npm package `@bitwarden/cli`, ciblant spécifiquement la version 2026.4.0. La violation provenait d'un GitHub GitHub Actionss compromis au sein du CI/CD pipeline de Bitwarden, permettant à un attaquant d'injecter un fichier nommé `bw1.js` directement dans la version légitime. Cela signifiait que toute personne téléchargeant la mise à jour officielle recevait un package corrompu à la source.

Heureusement, la fenêtre d'attaque est restée remarquablement étroite. La version malveillante a été distribuée entre 17h57 et 19h30 ET le 22 avril 2026, détectée et supprimée en environ 1,5 heure. Malgré cette réponse rapide, environ 334 utilisateurs ont téléchargé le package compromis, faisant face à de graves risques pour leurs environnements de développement locaux et leurs données sensibles.

Un outil de développeur compromis représente un scénario cauchemardesque pour toute organisation. Une telle attaque contourne les défenses périmétriques conventionnelles, intégrant directement des logiciels malveillants dans l'environnement de confiance des ingénieurs. Le code injecté visait à collecter un large éventail de credentials critiques : - GitHub authentication tokens, extraits directement de la mémoire du processus `GitHub Runner.Worker` et des variables d'environnement. - Cloud credentials pour AWS, Azure et GCP. - Private SSH keys. - Local secrets pour les serveurs Claude et MCP. - npm configuration files and tokens. - Shell history.

Le malware, faisant partie d'une campagne liée à des incidents précédents de type « Shai-Hulud-Shai-Hulud-Hulud Attack », comprenait également un kill switch, mettant fin à l'exécution si des Russian system locales étaient détectés. Pour les autres victimes, il a établi une persistance en injectant des hooks dans les profils `.bashrc` ou `.zshrc`, assurant un accès continu. Les données volées ont ensuite été exfiltrées vers des GitHub repositories publics créés sous le compte de la victime, déguisées en activité de développeur légitime utilisant des Dune-themed names.

L'attaque Shai-Hulud-Shai-Hulud-Hulud contre le CLI de Bitwarden a pris naissance au plus profond de sa propre infrastructure de développement. Les attaquants ont compromis un workflow GitHub GitHub Actionss, un composant critique du Continuous Integration/Continuous Delivery (CI/CD) pipeline de Bitwarden. Cette violation a fourni un conduit direct et non autorisé pour injecter du code malveillant dans les versions logicielles officielles, contournant les portes de sécurité standard.

Exploitant cet accès illicite, l'acteur de la menace a injecté un fichier nommé `bw1.js` directement dans le processus de construction pour `@bitwarden/cli` version 2026.4.0. Ce script malveillant a été conçu pour s'exécuter via un hook `preinstall`, assurant son activation lors de l'installation du package. L'injection a effectivement empoisonné le package légitime à sa source, transformant une mise à jour de confiance en un cheval de Troie pour les utilisateurs sans méfiance.

Avec `bw1.js` intégré et déguisé, le GitHub GitHub Actionss GitHub Runner compromis a ensuite procédé à la publication du paquet corrompu sur le registre officiel npm sous le nom légitime de Bitwarden. Les utilisateurs téléchargeant la mise à jour apparemment authentique téléchargeaient sans le savoir un logiciel malveillant déguisé en version officielle de Bitwarden. Cette méthode sophistiquée a permis au code malveillant de contourner les contrôles de sécurité typiques et de se distribuer via un canal vérifié.

Cet incident est un exemple d'attaque de la chaîne d'approvisionnement sophistiquée, où les adversaires ciblent les canaux de développement et de distribution de logiciels fiables plutôt que d'attaquer directement les utilisateurs finaux. Au lieu de cela, l'attaquant empoisonne un composant ou un service largement utilisé, transformant une source fiable en un vecteur insidieux de logiciels malveillants. L'objectif est d'infecter une large base d'utilisateurs qui font implicitement confiance au fournisseur en amont, en exploitant cette confiance contre eux.

La fenêtre d'impact de l'attaque a heureusement été brève, durant environ 1,5 heure entre 17h57 et 19h30 ET le 22 avril 2026. Pendant cette période critique, environ 334 utilisateurs ont téléchargé la version compromise avant que Bitwarden ne détecte et ne supprime le paquet malveillant. Cette détection rapide a limité l'exposition potentielle, mais souligne la nature insidieuse et le danger immédiat de telles violations de pipeline.

La version compromise `@bitwarden/cli` 2026.4.0 a initié sa charge utile malveillante via un `preinstall` hook intégré dans le fichier `package.json`. Ce mécanisme insidieux a garanti que le script injecté `bw1.js` s'exécutait automatiquement dès qu'un développeur téléchargeait la mise à jour officielle depuis npm. Cette exécution instantanée a donné à l'attaque Shai-Hulud-Shai-Hulud-Hulud un contrôle immédiat et sans entrave sur l'environnement d'installation de la victime.

Les attaquants ont fait preuve d'une sophistication significative en déployant un interpréteur Bun dédié comme moteur d'exécution principal. Plutôt que de s'appuyer sur des binaires système potentiellement absents ou surveillés, le logiciel malveillant a d'abord téléchargé Bun pour exécuter son script de récupération de mémoire. Cette tactique astucieuse a assuré un environnement d'exécution cohérent et furtif sur diverses configurations de développeurs, contournant efficacement les mesures de sécurité courantes conçues pour signaler une utilisation binaire inhabituelle.

L'objectif immédiat du script était chirurgical et très ciblé : il s'est concentré sur le processus `worker` du `GitHub GitHub Runner`. À partir de ce processus critique, il a méticuleusement extrait des données sensibles directement de la mémoire active, y compris les jetons d'authentification GitHub actifs et un large éventail de variables d'environnement cruciales pour le développement et les opérations CI/CD. Cet accès direct à la mémoire a fourni une riche moisson d'identifiants.

Le 'memory scraping' (récupération de mémoire) représente une tactique particulièrement insidieuse et difficile à détecter. Il permet au logiciel malveillant de contourner les permissions traditionnelles du système de fichiers et de nombreuses solutions de détection et de réponse aux points d'extrémité (EDR) qui surveillent principalement l'accès aux fichiers. Les identifiants, une fois chargés en mémoire pour une utilisation légitime, deviennent vulnérables sans que le logiciel malveillant n'ait besoin d'interagir avec leurs emplacements stockés en toute sécurité sur le disque, ce qui rend l'analyse forensique difficile.

Cette phase initiale a récolté un large éventail de secrets de grande valeur, compromettant directement l'empreinte opérationnelle du développeur : - Jetons d'authentification GitHub actifs - Identifiants cloud AWS, GCP et Azure - Clés SSH privées - Secrets locaux pour les serveurs Claude et MCP, et jetons de configuration npm

Un balayage aussi complet, exécuté si tôt dans la chaîne d'infection et à partir de la mémoire, a fourni aux attaquants un accès immédiat aux infrastructures critiques et aux données sensibles. Le paquet malveillant a été brièvement distribué pendant environ 1,5 heure le 22 avril 2026, affectant environ 334 utilisateurs. Pour une déclaration complète sur la réponse de Bitwarden à l'incident, veuillez vous référer à la Bitwarden Statement on Checkmarx Supply Chain Incident - Notices.

Une fois que le script malveillant `bw1.js` a établi sa tête de pont via le hook `preinstall`, il a initié un balayage en profondeur du système de fichiers local du système compromis. Cette chasse systématique a ciblé un large éventail de secrets de développeurs de grande valeur et de fichiers de configuration sensibles, allant bien au-delà du scraping initial de la mémoire des jetons d'authentification GitHub du processus `GitHub GitHub Runner`. L'objectif de l'attaquant était de récolter des identifiants capables de déverrouiller des environnements cloud entiers et des infrastructures critiques.

Les attaquants ont méticuleusement recherché des identifiants cloud, reconnaissant leur immense valeur pour le mouvement latéral et l'exfiltration de données. Le malware a parcouru les emplacements de configuration courants à la recherche de jetons relatifs à Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure. Compromettre ceux-ci accorde effectivement l'accès à l'ensemble de l'infrastructure cloud d'une victime, des buckets de stockage et machines virtuelles aux bases de données gérées et fonctions sans serveur. Ce niveau d'accès permet à un attaquant de prendre le contrôle d'opérations commerciales critiques.

Au-delà de l'accès au cloud, le malware a compilé une longue liste de courses d'autres secrets centrés sur les développeurs, cruciaux pour les workflows d'intégration et de déploiement continus. Ceux-ci incluaient : - Les clés SSH privées, essentielles pour un accès distant sécurisé aux serveurs, aux dépôts de code et aux pipelines de déploiement. - Les fichiers `.npmrc`, qui contiennent souvent des jetons d'authentification sensibles pour les registres npm privés et la gestion des paquets. - L'historique du shell, offrant des informations granulaires sur les commandes précédemment exécutées, révélant des chemins sensibles, des clés API ou des détails de réseau interne. - Les secrets locaux pour les outils d'IA comme Claude et les serveurs MCP, exposant l'accès à des modèles propriétaires, des ensembles de données internes et des ressources de calcul avancées.

La possession de ces identifiants volés permet des attaques consécutives catastrophiques, bien plus dommageables que le compromis initial d'une seule machine. Les acteurs de la menace pourraient pivoter de l'environnement local d'un développeur pour infiltrer les systèmes de production, voler la propriété intellectuelle ou lancer d'autres attaques sophistiquées de la chaîne d'approvisionnement contre d'autres organisations. L'attaque Shai-Hulud-Shai-Hulud-Hulud a démontré une intention claire et méthodique d'exploiter la confiance compromise des développeurs pour une exploitation généralisée et furtive et un gain financier significatif. Cela rend la rotation immédiate des identifiants et les audits système impératifs pour quiconque a exécuté la version affectée 2026.4.0.

Au lieu de router les données volées vers un serveur de commande et de contrôle (C2) conventionnel, le malware a employé une technique d'exfiltration de données remarquablement innovante. Les attaquants ont orchestré la création de tout nouveaux dépôts GitHub publics, directement sous le compte compromis de la victime. Cette méthode ingénieuse a transformé l'infrastructure de confiance de la victime en un canal secret pour le transfert illicite de données.

Ces dépôts nouvellement créés portaient des noms distinctifs, inspirés de la science-fiction, explicitement tirés de la saga *Dune* de Frank Herbert. Des exemples spécifiques incluaient : - 'Sandworm' - 'Fremen' - 'atreides' - 'sardaukar' Cette convention de nommage cohérente a servi de signature claire pour les acteurs de la menace, liant explicitement cet incident à la campagne plus large et sophistiquée Shai-Hulud-Shai-Hulud-Hulud Attack.

Le malware a ensuite transféré les données volées et chiffrées—y compris des informations d'identification cloud critiques, des SSH keys et des GitHub tokens—vers ces dépôts GitHub appartenant aux victimes. En imitant méticuleusement l'activité légitime des développeurs, comme le téléchargement de mises à jour de code, le trafic malveillant s'est intégré de manière transparente aux opérations réseau de routine. Cette stratégie subtile a permis à l'exfiltration de contourner de nombreux network security monitors traditionnels, qui font souvent confiance aux connexions sortantes vers GitHub.

Le chiffrement a fourni une couche de protection critique pour les informations sensibles avant leur transfert public. Cette obfuscation a garanti que même si les équipes de sécurité découvraient finalement les dépôts malveillants, les données brutes volées restaient inaccessibles sans la clé de déchiffrement spécifique. L'approche multi-étapes, combinant une exfiltration furtive avec un chiffrement robuste, a démontré une planification et une sécurité opérationnelle élevées de la part des acteurs de la menace.

Alors que les dépôts GitHub servaient de canal d'exfiltration principal et furtif, le malware a également intégré un C2 endpoint de secours. Cette voie de communication secondaire ciblait `audit.checkmarx[.]cx`, offrant un chemin alternatif pour la transmission des données si la méthode GitHub rencontrait des problèmes. L'inclusion d'un tel C2 de secours résilient souligne davantage la nature persistante de cette "Shai-Hulud-Shai-Hulud-Hulud Attack" et la détermination de ses opérateurs à assurer la récupération des données.

Cette stratégie d'exfiltration élaborée et multifacette met en évidence la profonde compréhension des attaquants des flux de travail de développement modernes et des points faibles de sécurité courants. En transformant des plateformes fiables comme GitHub en armes et en mélangeant leurs GitHub Actionss avec le trafic de développeurs de routine, les acteurs de la menace ont considérablement augmenté leurs chances de vol de données réussi et non détecté. L'ensemble de l'opération a démontré un effort calculé pour rester caché le plus longtemps possible.

Le code malveillant dans le Bitwarden CLI package compromis contenait la chaîne explicite 'Shai-Hulud-Hulud: The Third Coming', liant directement cet incident à une campagne de menace plus vaste et continue. Ce n'était pas un événement isolé, mais une autre itération d'une attaque sophistiquée de la chaîne d'approvisionnement. Les acteurs de la menace marquent constamment leurs opérations avec un thème *Dune* élaboré, utilisant des noms comme "Sandworm" et "Fremen" pour leurs dépôts d'exfiltration de données.

La campagne Shai-Hulud-Hulud a un historique documenté. Des chercheurs ont précédemment identifié une autre attaque significative de la chaîne d'approvisionnement sur le thème de *Dune* l'année dernière, solidifiant la méthodologie signature du groupe. Cette utilisation récurrente de noms spécifiques sur le thème de *Dune* pour les dépôts GitHub publics — où les données chiffrées volées étaient transférées — fait apparaître le trafic malveillant comme une activité de développeur légitime, contournant astucieusement les network monitors.

Les auteurs du malware ont intégré un kill switch unique dans le code malveillant, méticuleusement conçu pour vérifier les paramètres régionaux du système russe. Si les paramètres de langue ou de région du système indiquaient un environnement russe, le malware mettait fin à son exécution, empêchant toute activité malveillante supplémentaire. Ce mécanisme d'auto-préservation a permis aux attaquants d'opérer avec un certain degré de déni plausible, évitant les cibles au sein de leur juridiction perçue.

Cette tactique est une stratégie courante parmi certains acteurs de la menace, en particulier ceux opérant depuis des régions géopolitiques spécifiques. En évitant systématiquement les systèmes avec des locales russes, ces groupes visent à échapper aux enquêtes et aux poursuites potentielles de leurs agences locales d'application de la loi, créant ainsi un refuge sûr pour leurs opérations. La campagne « Shai-Hulud-Hulud: The Third Coming » démontre clairement cette technique d'évasion calculée.

Au-delà de sa terminaison conditionnelle, le logiciel malveillant a établi un robuste mécanisme de persistance sur les systèmes compromis. Il a injecté des hooks directement dans les profils shell de l'utilisateur, ciblant spécifiquement les fichiers de configuration `.bashrc` ou `.zshrc`. Cette modification subtile garantissait que le script malveillant s'exécuterait automatiquement chaque fois que l'utilisateur ouvrait une nouvelle session de terminal, maintenant ainsi une présence persistante et cachée au sein de l'environnement de développement.

Cette porte dérobée représente un danger significatif à long terme, s'étendant bien au-delà de l'impact immédiat du package Bitwarden CLI compromis. Même si les utilisateurs affectés supprimaient le package `npm` initial, les lignes injectées dans leurs profils shell pourraient subsister, réexécutant silencieusement le logiciel malveillant lors de futures sessions et poursuivant l'exfiltration de données. Une remédiation complète exige une inspection manuelle et un nettoyage méticuleux de ces fichiers de configuration critiques pour éliminer véritablement la menace persistante.

Si vous avez installé ou mis à jour le `@bitwarden/cli` vers la version 2026.4.0 entre 17h57 et 19h30 ET le 22 avril 2026, considérez votre système comme compromis. Environ 334 développeurs ont téléchargé ce package malveillant, rendant des GitHub Actions immédiates et décisives critiques. L'Shai-Hulud-Shai-Hulud-Hulud Attack était sophistiquée, conçue pour une pénétration profonde et une persistance.

Votre première tâche, la plus urgente, implique une rotation complète de toutes les informations d'identification potentiellement exposées. Le logiciel malveillant a activement extrait des informations sensibles de la mémoire et des fichiers locaux. Cela inclut : - GitHub tokens : Révoquez tous les jetons d'accès personnels et les autorisations OAuth connectés à votre compte GitHub. Générez de nouveaux jetons forts avec le principe du moindre privilège. - Cloud provider keys : Invalidez et regénérez immédiatement toutes les clés API et les identifiants d'accès pour AWS, GCP et Azure. Auditez les journaux pour toute activité suspecte après la compromission. - SSH keys : Générez des paires de clés SSH entièrement nouvelles. Supprimez les anciennes clés publiques de tous les serveurs et services, en vous assurant qu'aucun accès persistant ne reste pour les attaquants.

Ensuite, effectuez un audit approfondi de votre compte GitHub. Le logiciel malveillant a créé de nouveaux dépôts publics sous votre propriété en tant que canal d'exfiltration, utilisant des noms à thème Dune distincts tels que « Sandworm », « Fremen », « atreides » ou « sardaukar ». Recherchez et supprimez systématiquement tout dépôt inconnu ou nouvellement créé correspondant à ces modèles. Cette GitHub Actions ferme une voie de sortie de données principale.

Au-delà du nettoyage des informations d'identification et des dépôts, examinez vos configurations shell locales pour la persistance. Le script `bw1.js` injecté a établi la persistance en modifiant les fichiers de profil shell. Inspectez attentivement `.bashrc`, `.zshrc`, `.profile` et d'autres scripts d'initialisation shell pertinents pour toute commande, hook ou fichier source inconnu. Supprimez toute ligne qui semble suspecte ou qui n'a pas été ajoutée intentionnellement.

Enfin, assurez l'éradication complète du paquet malveillant et sécurisez votre CLI. Désinstallez entièrement `@bitwarden/cli` version 2026.4.0 de votre système. Vérifiez sa suppression, puis installez la dernière version sécurisée et vérifiée du Bitwarden CLI à partir de sources officielles. Cette étape critique supprime le vecteur d'infection initial et restaure l'intégrité de votre outil de gestion de mots de passe. Envisagez une analyse complète du système avec un logiciel antivirus réputé comme précaution supplémentaire. Cette approche multi-facettes est essentielle pour se remettre de cette violation sophistiquée de la chaîne d'approvisionnement.

La récente compromission de la version 2026.4.0 de `@bitwarden/cli` de Bitwarden illustre de manière frappante la menace croissante qui pèse sur les chaînes d'approvisionnement logicielles. Des attaquants ont injecté du code malveillant dans un paquet de confiance, démontrant comment un point de défaillance unique au sein d'un pipeline de développement peut se propager, affectant potentiellement des milliers d'utilisateurs. Cette Shai-Hulud-Shai-Hulud-Hulud Attack souligne le besoin critique de vigilance au-delà des défenses périmétriques traditionnelles, en se concentrant directement sur l'intégrité des processus de build et de release.

Les environnements CI/CD, en particulier ceux qui exploitent les GitHub GitHub Actionss, sont devenus des cibles privilégiées pour les acteurs de menaces sophistiqués. Ces systèmes automatisés possèdent des permissions élevées, un accès à un large éventail de credentials sensibles (comme les cloud tokens et les SSH keys), et un contrôle direct sur le cycle de vie officiel de la publication logicielle. Compromettre un pipeline CI/CD offre à un attaquant un canal direct et de haute confiance pour injecter des malwares dans les distributions officielles, contournant souvent de nombreux contrôles de sécurité traditionnels et atteignant les utilisateurs finaux à la source.

L'implémentation du principle of least privilege pour tous les CI/CD tokens, les comptes de service et l'accès aux GitHub GitHub Runner est non négociable. N'accorder que les permissions minimales nécessaires limite considérablement le rayon d'impact si un composant ou un credential est compromis. Les développeurs et les équipes de sécurité doivent examiner et révoquer rigoureusement les permissions excessives pour les processus de travail automatisés et les agents de build, en s'assurant qu'ils ne peuvent exécuter que leurs fonctions désignées et rien de plus.

La sécurité moderne exige une approche multi-couches de l'intégrité CI/CD, allant au-delà des stratégies axées sur le périmètre. Les pratiques essentielles incluent le dependency pinning, qui verrouille des versions spécifiques de tous les paquets en amont pour empêcher l'introduction de changements inattendus ou malveillants. La signature de paquets, illustrée par des initiatives comme Sigstore, fournit des assurances cryptographiques sur l'origine et l'intégrité d'un paquet, permettant aux consommateurs de vérifier que le logiciel n'a pas été altéré depuis sa création.

La surveillance continue de l'activité du pipeline CI/CD et de l'intégrité des artefacts est cruciale pour la détection précoce des anomalies. Les organisations doivent mettre en œuvre une journalisation et des alertes robustes pour tout changement non autorisé aux scripts de build, aux étapes de build suspectes ou aux sorties réseau inattendues des agents de build. Rester informé des menaces émergentes et des meilleures pratiques est vital ; pour des informations plus approfondies sur les implications de telles attaques, lisez-en davantage sur la compromission du Bitwarden CLI Bitwarden CLI password manager trojanized in supply chain attack - CSO Online.

Le compromis du package CLI officiel de Bitwarden, spécifiquement la version 2026.4.0 de `@bitwarden/cli`, représente une profonde érosion de la confiance au sein de la communauté open-source. Lorsque même un outil axé sur la sécurité d'un fournisseur réputé est victime d'une attaque de la chaîne d'approvisionnement provenant de son propre pipeline CI/CD, chaque développeur doit reconsidérer ses hypothèses concernant l'intégrité logicielle. L'incident, qui fait partie de la campagne plus large « Shai-Hulud-Hulud: The Third Coming », souligne un changement critique dans le paysage numérique.

Les développeurs ne peuvent plus se permettre le luxe d'une confiance implicite. Une mentalité de sécurité zero-trust est désormais primordiale, traitant chaque dépendance, chaque bibliothèque et chaque artefact de build comme potentiellement hostile. Cela signifie aller au-delà de la simple vérification des vulnérabilités connues pour vérifier activement la provenance et l'intégrité de tout le code entrant dans l'écosystème d'un projet.

Cette nouvelle réalité exige un modèle de responsabilité partagée. Les mainteneurs de projets doivent renforcer drastiquement leurs pipelines de build, en mettant en œuvre des contrôles rigoureux pour les GitHub GitHub Actionss, la signature de code et l'intégrité des artefacts. Ils doivent examiner chaque commit, chaque fusion et chaque étape de publication avec une mentalité d'attaquant, en s'assurant que les injections de code non autorisées, comme le fichier `bw1.js` exécuté via un hook `preinstall` dans le cas de Bitwarden, deviennent pratiquement impossibles.

Les consommateurs de logiciels open-source portent une responsabilité égale. Les développeurs doivent mettre en œuvre des processus de vérification automatisés, y compris des contrôles de signature cryptographique et une analyse statique, avant d'intégrer toute nouvelle dépendance. Le sandboxing des environnements de développement, l'exploitation de l'accès au moindre privilège et la segmentation des réseaux deviennent des pratiques non négociables.

À l'avenir, la vigilance est l'arme la plus puissante du développeur. Faites pivoter régulièrement les identifiants, en particulier ceux ciblés par le malware, comme les jetons d'authentification GitHub, les identifiants AWS, Azure et GCP, et les clés SSH. Surveillez activement toute activité inhabituelle, telle que la création de dépôts GitHub publics sur le thème de Dune utilisés pour l'exfiltration. L'ère de la confiance aveugle est révolue ; la sécurité proactive est la seule voie vers la protection.

Qu'est-ce que le hack Bitwarden CLI ?

Il s'agissait d'une attaque de la chaîne d'approvisionnement où une version malveillante (2026.4.0) du package npm `@bitwarden/cli` a été publiée. Le malware était conçu pour voler les identifiants des développeurs tels que les clés cloud, les clés SSH et les jetons GitHub.

Mes données de coffre-fort Bitwarden ont-elles été affectées par cette attaque ?

Non. Bitwarden a confirmé que l'attaque était limitée à l'outil CLI npm et n'a pas compromis les données de coffre-fort des utilisateurs finaux, les systèmes de production ou d'autres applications Bitwarden.

Qu'est-ce que la campagne d'attaque 'Shai-Hulud' ?

Il s'agit d'une série continue d'attaques sophistiquées de la chaîne d'approvisionnement, nommée d'après les vers des sables géants des romans Dune. La campagne cible les développeurs en compromettant les packages logiciels et les pipelines CI/CD.

Comment savoir si j'ai été affecté par l'attaque Bitwarden CLI ?

Si vous avez installé ou mis à jour `@bitwarden/cli` vers la version 2026.4.0 entre 17h57 et 19h30 ET le 22 avril 2026, vous avez probablement été affecté. Vous devriez faire pivoter immédiatement tous les identifiants cloud, SSH et GitHub.