Eilmeldung
ITForti esplosioni a Kiev durante un'allerta missilistica: almeno 11 mortiKR홈플러스, 카드사의 대금 지급 보류에 "부당한 처사" 즉각 철회 요구ITMonopattini in sharing, le imprese: "Regole contro di noi, aumentano i costi"ITCina: Lancio di prova di missile strategico da sottomarinoITOperazione "King George": 16 arresti e 1,1 milioni di euro di beni sequestrati per traffico di drogaJPスズキ、輸入車新規登録台数で初の首位に躍進 - メルセデス・ベンツを抜くCNFuneral procession for Iran's late supreme leader Ali Khamenei begins in TehranCN中国共产党十九届六中全会通过百年奋斗决议PLPowódź tysiąclecia w Polsce: Przyczyny, skutki i lekcjeRUГубернатор Новосибирской области поручил экономить топливо из-за сложной ситуацииITForti esplosioni a Kiev durante un'allerta missilistica: almeno 11 mortiKR홈플러스, 카드사의 대금 지급 보류에 "부당한 처사" 즉각 철회 요구ITMonopattini in sharing, le imprese: "Regole contro di noi, aumentano i costi"ITCina: Lancio di prova di missile strategico da sottomarinoITOperazione "King George": 16 arresti e 1,1 milioni di euro di beni sequestrati per traffico di drogaJPスズキ、輸入車新規登録台数で初の首位に躍進 - メルセデス・ベンツを抜くCNFuneral procession for Iran's late supreme leader Ali Khamenei begins in TehranCN中国共产党十九届六中全会通过百年奋斗决议PLPowódź tysiąclecia w Polsce: Przyczyny, skutki i lekcjeRUГубернатор Новосибирской области поручил экономить топливо из-за сложной ситуации
Newsgather
BackBitwarden CLI-Kompromittierung: Schadsoftware in Version 2026.4.0 stahl Zugangsdaten
Bitwarden CLI-Kompromittierung: Schadsoftware in Version 2026.4.0 stahl Zugangsdaten
Dringend
Heise Online23.04.2026Technik2 dk okumaGermany

Bitwarden CLI-Kompromittierung: Schadsoftware in Version 2026.4.0 stahl Zugangsdaten

Supply-Chain-Angriff auf npm-Paket @bitwarden/cli - Angreifer exfiltrierten GitHub-Tokens, AWS- und Cloud-Zugangsdaten

Auf einen Blick

  • Das npm-Paket @bitwarden/cli wurde zwischen dem 22. und 23.
  • April 2026 mit einem Credential-Stealer infiziert.
  • Die kompromittierte Version 2026.4.0 lud die Bun-Runtime herunter und exfiltrierte GitHub-Tokens, SSH-Schlüssel, AWS-, Azure- und GCP-Zugangsdaten sowie KI-Tool-Konfigurationen.

KI-generierte Zusammenfassung

Warum es wichtig ist

Der Vorfall ist Teil eines größeren Angriffs auf die Checkmarx-Lieferkette. Bitwarden ist ein bekannter Passwort-Manager mit Millionen von Nutzern weltweit. Die Kompromittierung erfolgte über das offizielle npm-Repository, was die Vertrauenswürdigkeit der Softwarelieferkette in Frage stellt.

Schriftgröße

Zwischen 23:57 Uhr am 22. April und 01:30 Uhr am 23. April deutscher Zeit (17:57 Uhr bis 19:30 Uhr ET) wurde das npm-Paket @bitwarden/cli in der Version 2026.4.0 mit Schadcode ausgeliefert. Diese manipulierte Version stahl Zugangsdaten der Nutzer. Bitwarden betont allerdings, dass im eigentlichen Safe abgelegte Daten von Endnutzern (Vault-Data) nicht betroffen seien.

Wie Bitwarden in seinem Community-Forum mitteilte, habe das Sicherheitsteam das manipulierte Paket identifiziert und eingedämmt. Die Verteilung erfolgte demnach ausschließlich via NPM, wer das Paket in der fraglichen Zeit nicht via NPM bezogen habe, sei nicht betroffen. Die kompromittierte Version sei mittlerweile als deprecated markiert und der missbrauchte Zugang widerrufen worden. Der Vorfall ist Teil eines größeren Angriffs auf die Checkmarx-Lieferkette.

Sicherheitsforscher von JFrog und Socket.dev haben die Malware im Detail analysiert. Das manipulierte package.json enthielt ein preinstall-Skript, das automatisch beim Installieren eine Loader-Datei namens bw_setup.js ausführte. Diese lud die Bun-Runtime (Version 1.3.13) von GitHub herunter und startete ein obfuskiertes JavaScript-Payload (bw1.js). Der Schadcode zielte auf ein breites Spektrum sensibler Daten: GitHub- und npm-Tokens, SSH-Schlüssel, Shell-Historien sowie Zugangsdaten für AWS, Google Cloud und Azure. Ferner wurden GitHub-Actions-Secrets, Git-Credentials, .env-Dateien und sogar Konfigurationsdateien von KI-Tools wie Claude und MCP ausgelesen und an die Angreifer geschickt.

Die Exfiltration erfolgte primär verschlüsselt an die Adresse audit.checkmarx.cx (IP: 94.154.172.43). Als Fallback nutzte die Malware einen raffinierten Mechanismus: Gestohlene GitHub-Tokens wurden validiert, um unter dem Konto des Opfers Repositories zur Datenexfiltration anzulegen. Double-Base64-kodierte PATs wurden dabei in Commit-Messages mit dem Marker „LongLiveTheResistanceAgainstMachines“ versteckt.

Wer die Version 2026.4.0 im genannten Zeitfenster installiert hat, sollte umgehend handeln. Bitwarden empfiehlt die Deinstallation mit npm uninstall -g @bitwarden/cli und das Leeren des npm-Cache. Auf betroffenen Systemen sollten Administratoren nach den Artefakten bw_setup.js, bw1.js sowie einer heruntergeladenen Bun-Runtime suchen. Besonders wichtig ist die Rotation sämtlicher Zugangsdaten, die auf dem kompromittierten System gespeichert waren: GitHub Personal Access Tokens, npm-Tokens, AWS Access Keys, Azure- und GCP-Secrets sowie SSH-Schlüssel. Auch GitHub-Actions-Workflows sollten auf unautorisierte Ausführungen geprüft werden. Die Domain audit.checkmarx.cx und die IP 94.154.172.43 sollten in Firewalls blockiert werden.

Aktuell liefern alle Repositories wieder die reguläre Version 2026.3.0 aus. Diese und alle anderen Versionen der Bitwarden CLI außer 2026.4.0 sind laut Hersteller nicht betroffen. Produktionssysteme und Vault-Daten seien zu keinem Zeitpunkt kompromittiert worden.

Worauf zu achten ist

KI-Ausblick — Möglichkeiten, keine Fakten

  • Weitere Unternehmen könnten ähnliche Kompromittierungen ihrer npm-Pakete melden

    Wahrscheinlich · Innerhalb von Wochen

  • Erhöhte Sicherheitsmaßnahmen bei npm und anderen Package-Managern

    Sehr wahrscheinlich · Innerhalb von Monaten

Offene Fragen

  • Wie genau wurde das npm-Konto kompromittiert?
  • Wer steckt hinter dem Angriff?
  • Wie viele Nutzer waren betroffen?
  • Gab es weitere kompromittierte Pakete im selben Zeitraum?

Verwandte Themen

This article was originally published by Heise Online.

Ähnliche Meldungen

Mehr zu diesem Themabitwarden