Bitwarden CLIがサプライチェーン攻撃を受け、悪意のあるパッケージが約1.5時間流通していました。

SlowMist CISO 23pds が発表しました。パスワード管理ツール Bitwarden CLI バージョン 2026.4.0 が、米東部時間の 17:57 から 19:30 の間に Checkmarx のサプライチェーン攻撃を受け、攻撃者は Bitwarden CI/CD パイプライン内の GitHub Action を悪用して、悪意のあるパッケージを一時的に npm 経由で配布しました。

公式に確認されたところによると、Vault データは漏洩しておらず、製品システムには影響がありませんでした。影響を受けたのは、その時間帯に npm からこのバージョンをインストールしたユーザーのみです。公式は、影響を受けたユーザーに対し、2026.4.0 を直ちにアンインストールし、npm キャッシュをクリアし、API トークンや SSH キーなどの機密資格情報をローテーションし、GitHub と CI の異常な活動を調査し、修正バージョン 2026.4.1 にアップグレードすることを推奨しています。