Bitwarden CLI遭供应链攻击,逾千万用户面临凭据泄露风险
安全研究机构Socket披露,Bitwarden CLI 2026.4.0版本遭到入侵,攻击者利用Bitwarden CI/CD流水线中的一个GitHub Action漏洞植入恶意代码,此次事件是持续进行中的Checkmarx供应链攻击活动的一部分。Bitwarden拥有逾1000万用户及5万余家企业客户,是全球排名前三的密码管理工具之一。 
恶意载荷隐藏于bw1.js文件中,可窃取GitHub Token、AWS/Azure/GCP云凭据、npm配置、SSH密钥及Claude/MCP配置文件等敏感信息,并通过加密提交的方式将数据外泄至攻击者控制的公开GitHub仓库。此次攻击还具备Shell持久化能力,会向~/.bashrc和~/.zshrc注入恶意代码。值得注意的是,恶意程序内置俄语区域设置检测,若系统语言为俄语则静默退出。目前仅npm版本的CLI受到影响,Chrome扩展及其他官方发行版尚未波及。 
Socket建议受影响用户立即卸载该版本、轮换所有相关凭据,并排查GitHub是否存在异常仓库创建或工作流注入。
Socket