Bitwarden CLI durch Supply-Chain-Angriff über GitHub Actions kompromittiert

Socket hat bestätigt, dass die Bitwarden CLI Version 2026.4.0 im Rahmen der laufenden Checkmarx Supply-Chain-Kampagne kompromittiert wurde, wodurch Millionen von Nutzern und Tausenden von Unternehmen einem Diebstahl vo Socket hat bestätigt, dass die Bitwarden CLI Version 2026.4.0 im Rahmen der laufenden Checkmarx Supply-Chain-Kampagne kompromittiert wurde, wodurch Millionen von Nutzern und Tausenden von Unternehmen einem Diebstahl von Anmeldeinformationen und einer Infiltration von CI/CD-Pipelines ausgesetzt sind. Der Angriff zielte auf @bitwarden/cli 2026.4.0 auf npm ab und injizierte eine bösartige Datei namens bw1.js in die Paketinhalte.

Bitwarden CLI wird von über 10 Millionen Nutzern und 50.000+ Unternehmen verwendet, was es zu einem der Ziele mit der höchsten Auswirkung in der Kampagne bisher macht. Bemerkenswert ist, dass nur das npm CLI-Paket betroffen war.

Bitwardens Chrome-Erweiterung, der MCP-Server und andere offizielle Vertriebskanäle bleiben unkompromittiert. Die Angreifer nutzten eine kompromittierte GitHub Action innerhalb von Bitwardens CI/CD-Pipeline, denselben Supply-Chain-Vektor, der in der breiteren Checkmarx-Kampagne dokumentiert wurde, von Socket-Forschern.

Die bösartige bw1.js-Payload teilt Kerninfrastruktur mit dem zuvor analysierten mcpAddon.js, einschließlich eines identischen C2-Endpunkts (audit.checkmarx[. ]cx/v1/telemetry) obfuscated via __decodeScrambled with seed 0x3039.