Última hora
RUВ Ивановской области объявлен режим опасности атаки БПЛАGLOBALAzteca Stadium Issues Shelter-in-Place Order Due to Severe WeatherITSinner e Djokovic ai quarti di Wimbledon: Sabalenka eliminataBRAdvogada morre após bater carro contra árvore em Patrocínio (MG)RUЧисло погибших в Венесуэле после землетрясений возросло до 3342ESBrasil y Noruega empatan en Nueva York en octavos del Mundial 2026TRCHP'li Başarır: Trabzonlular 'Partiyi Gerçek Sahiplerine Teslim Edin' DiyorRUРоссийские военные освободили 14 населенных пунктов за неделюARانتخابات الاتحاد السعودي لكرة القدم تدخل مرحلة مفصليةESVenezuela: cifra de fallecidos por terremoto aumenta a 3.342RUВ Ивановской области объявлен режим опасности атаки БПЛАGLOBALAzteca Stadium Issues Shelter-in-Place Order Due to Severe WeatherITSinner e Djokovic ai quarti di Wimbledon: Sabalenka eliminataBRAdvogada morre após bater carro contra árvore em Patrocínio (MG)RUЧисло погибших в Венесуэле после землетрясений возросло до 3342ESBrasil y Noruega empatan en Nueva York en octavos del Mundial 2026TRCHP'li Başarır: Trabzonlular 'Partiyi Gerçek Sahiplerine Teslim Edin' DiyorRUРоссийские военные освободили 14 населенных пунктов за неделюARانتخابات الاتحاد السعودي لكرة القدم تدخل مرحلة مفصليةESVenezuela: cifra de fallecidos por terremoto aumenta a 3.342
Newsgather
BackBitwarden CLI-Kompromittierung: Schadsoftware in Version 2026.4.0 stahl Zugangsdaten
Bitwarden CLI-Kompromittierung: Schadsoftware in Version 2026.4.0 stahl Zugangsdaten
Urgente
Heise Online23.04.2026Tecnología2 dk okumaGermany

Bitwarden CLI-Kompromittierung: Schadsoftware in Version 2026.4.0 stahl Zugangsdaten

Supply-Chain-Angriff auf npm-Paket @bitwarden/cli - Angreifer exfiltrierten GitHub-Tokens, AWS- und Cloud-Zugangsdaten

En resumen

  • Das npm-Paket @bitwarden/cli wurde zwischen dem 22. und 23.
  • April 2026 mit einem Credential-Stealer infiziert.
  • Die kompromittierte Version 2026.4.0 lud die Bun-Runtime herunter und exfiltrierte GitHub-Tokens, SSH-Schlüssel, AWS-, Azure- und GCP-Zugangsdaten sowie KI-Tool-Konfigurationen.

Resumen generado por IA

Por qué importa

Der Vorfall ist Teil eines größeren Angriffs auf die Checkmarx-Lieferkette. Bitwarden ist ein bekannter Passwort-Manager mit Millionen von Nutzern weltweit. Die Kompromittierung erfolgte über das offizielle npm-Repository, was die Vertrauenswürdigkeit der Softwarelieferkette in Frage stellt.

Tamaño de fuente

Zwischen 23:57 Uhr am 22. April und 01:30 Uhr am 23. April deutscher Zeit (17:57 Uhr bis 19:30 Uhr ET) wurde das npm-Paket @bitwarden/cli in der Version 2026.4.0 mit Schadcode ausgeliefert. Diese manipulierte Version stahl Zugangsdaten der Nutzer. Bitwarden betont allerdings, dass im eigentlichen Safe abgelegte Daten von Endnutzern (Vault-Data) nicht betroffen seien.

Wie Bitwarden in seinem Community-Forum mitteilte, habe das Sicherheitsteam das manipulierte Paket identifiziert und eingedämmt. Die Verteilung erfolgte demnach ausschließlich via NPM, wer das Paket in der fraglichen Zeit nicht via NPM bezogen habe, sei nicht betroffen. Die kompromittierte Version sei mittlerweile als deprecated markiert und der missbrauchte Zugang widerrufen worden. Der Vorfall ist Teil eines größeren Angriffs auf die Checkmarx-Lieferkette.

Sicherheitsforscher von JFrog und Socket.dev haben die Malware im Detail analysiert. Das manipulierte package.json enthielt ein preinstall-Skript, das automatisch beim Installieren eine Loader-Datei namens bw_setup.js ausführte. Diese lud die Bun-Runtime (Version 1.3.13) von GitHub herunter und startete ein obfuskiertes JavaScript-Payload (bw1.js). Der Schadcode zielte auf ein breites Spektrum sensibler Daten: GitHub- und npm-Tokens, SSH-Schlüssel, Shell-Historien sowie Zugangsdaten für AWS, Google Cloud und Azure. Ferner wurden GitHub-Actions-Secrets, Git-Credentials, .env-Dateien und sogar Konfigurationsdateien von KI-Tools wie Claude und MCP ausgelesen und an die Angreifer geschickt.

Die Exfiltration erfolgte primär verschlüsselt an die Adresse audit.checkmarx.cx (IP: 94.154.172.43). Als Fallback nutzte die Malware einen raffinierten Mechanismus: Gestohlene GitHub-Tokens wurden validiert, um unter dem Konto des Opfers Repositories zur Datenexfiltration anzulegen. Double-Base64-kodierte PATs wurden dabei in Commit-Messages mit dem Marker „LongLiveTheResistanceAgainstMachines“ versteckt.

Wer die Version 2026.4.0 im genannten Zeitfenster installiert hat, sollte umgehend handeln. Bitwarden empfiehlt die Deinstallation mit npm uninstall -g @bitwarden/cli und das Leeren des npm-Cache. Auf betroffenen Systemen sollten Administratoren nach den Artefakten bw_setup.js, bw1.js sowie einer heruntergeladenen Bun-Runtime suchen. Besonders wichtig ist die Rotation sämtlicher Zugangsdaten, die auf dem kompromittierten System gespeichert waren: GitHub Personal Access Tokens, npm-Tokens, AWS Access Keys, Azure- und GCP-Secrets sowie SSH-Schlüssel. Auch GitHub-Actions-Workflows sollten auf unautorisierte Ausführungen geprüft werden. Die Domain audit.checkmarx.cx und die IP 94.154.172.43 sollten in Firewalls blockiert werden.

Aktuell liefern alle Repositories wieder die reguläre Version 2026.3.0 aus. Diese und alle anderen Versionen der Bitwarden CLI außer 2026.4.0 sind laut Hersteller nicht betroffen. Produktionssysteme und Vault-Daten seien zu keinem Zeitpunkt kompromittiert worden.

Qué observar

Perspectiva de IA — posibilidades, no hechos

  • Weitere Unternehmen könnten ähnliche Kompromittierungen ihrer npm-Pakete melden

    Probable · En semanas

  • Erhöhte Sicherheitsmaßnahmen bei npm und anderen Package-Managern

    Muy probable · En meses

Preguntas abiertas

  • Wie genau wurde das npm-Konto kompromittiert?
  • Wer steckt hinter dem Angriff?
  • Wie viele Nutzer waren betroffen?
  • Gab es weitere kompromittierte Pakete im selben Zeitraum?

Temas relacionados

This article was originally published by Heise Online.

Noticias relacionadas

Más sobre este temabitwarden