Bitwarden CLI 遭供應鏈攻擊，惡意包短暫流通約 1.5 小時

ChainCatcher 消息，SlowMist CISO 23pds 披露，密碼管理工具 Bitwarden CLI 版本 2026.4.0 於美東時間 17:57 至 19:30 期間遭受 Checkmarx 供應鏈攻擊，攻擊者透過濫用 Bitwarden CI/CD 管道中的 GitHub Action，將惡意包短暫經由 npm 發佈。

官方確認 Vault 資料未洩露，生產系統未受影響，僅該時間窗口內透過 npm 安裝該版本的用戶受到波及。官方建議受影響用戶立即卸載 2026.4.0、清理 npm 快取、輪換 API Token 及 SSH Key 等敏感憑證、排查 GitHub 與 CI 異常活動，並升級至修復版本 2026.4.1。