Dernière minute
RUВ Киеве произошла четвертая серия взрывов за ночьARإسرائيل تتجه نحو أزمة دستورية كبرى بعد تحدي الحكومة لقرار المحكمة العلياCN税务部门发出补税提醒:莫让“小聪明”蚕食钱袋子与社会公平RUКиев остался без света и воды после серии ракетных ударовBRTerremoto em La Guaira: Resgates, Abrigos e Críticas à Gestão da CriseBRHomem é preso com 13.820 pinos de cocaína em ArealARالبرازيل تودع كأس العالم بخسارة أمام النرويج.. وهالاند يقود "الفايكنغ" لربع النهائيBRIncêndios florestais atingem Grécia, Portugal e FrançaCN氣象專家:巴威颱風接近台灣有三特徵RURussian Air Defense Downs Four More Drones Near MoscowRUВ Киеве произошла четвертая серия взрывов за ночьARإسرائيل تتجه نحو أزمة دستورية كبرى بعد تحدي الحكومة لقرار المحكمة العلياCN税务部门发出补税提醒:莫让“小聪明”蚕食钱袋子与社会公平RUКиев остался без света и воды после серии ракетных ударовBRTerremoto em La Guaira: Resgates, Abrigos e Críticas à Gestão da CriseBRHomem é preso com 13.820 pinos de cocaína em ArealARالبرازيل تودع كأس العالم بخسارة أمام النرويج.. وهالاند يقود "الفايكنغ" لربع النهائيBRIncêndios florestais atingem Grécia, Portugal e FrançaCN氣象專家:巴威颱風接近台灣有三特徵RURussian Air Defense Downs Four More Drones Near Moscow
Newsgather
BackBitwarden CLI-Kompromittierung: Schadsoftware in Version 2026.4.0 stahl Zugangsdaten
Bitwarden CLI-Kompromittierung: Schadsoftware in Version 2026.4.0 stahl Zugangsdaten
Urgent
Heise Online23.04.2026Tech2 dk okumaGermany

Bitwarden CLI-Kompromittierung: Schadsoftware in Version 2026.4.0 stahl Zugangsdaten

Supply-Chain-Angriff auf npm-Paket @bitwarden/cli - Angreifer exfiltrierten GitHub-Tokens, AWS- und Cloud-Zugangsdaten

L'essentiel

  • Das npm-Paket @bitwarden/cli wurde zwischen dem 22. und 23.
  • April 2026 mit einem Credential-Stealer infiziert.
  • Die kompromittierte Version 2026.4.0 lud die Bun-Runtime herunter und exfiltrierte GitHub-Tokens, SSH-Schlüssel, AWS-, Azure- und GCP-Zugangsdaten sowie KI-Tool-Konfigurationen.

Résumé généré par IA

Pourquoi c'est important

Der Vorfall ist Teil eines größeren Angriffs auf die Checkmarx-Lieferkette. Bitwarden ist ein bekannter Passwort-Manager mit Millionen von Nutzern weltweit. Die Kompromittierung erfolgte über das offizielle npm-Repository, was die Vertrauenswürdigkeit der Softwarelieferkette in Frage stellt.

Taille de police

Zwischen 23:57 Uhr am 22. April und 01:30 Uhr am 23. April deutscher Zeit (17:57 Uhr bis 19:30 Uhr ET) wurde das npm-Paket @bitwarden/cli in der Version 2026.4.0 mit Schadcode ausgeliefert. Diese manipulierte Version stahl Zugangsdaten der Nutzer. Bitwarden betont allerdings, dass im eigentlichen Safe abgelegte Daten von Endnutzern (Vault-Data) nicht betroffen seien.

Wie Bitwarden in seinem Community-Forum mitteilte, habe das Sicherheitsteam das manipulierte Paket identifiziert und eingedämmt. Die Verteilung erfolgte demnach ausschließlich via NPM, wer das Paket in der fraglichen Zeit nicht via NPM bezogen habe, sei nicht betroffen. Die kompromittierte Version sei mittlerweile als deprecated markiert und der missbrauchte Zugang widerrufen worden. Der Vorfall ist Teil eines größeren Angriffs auf die Checkmarx-Lieferkette.

Sicherheitsforscher von JFrog und Socket.dev haben die Malware im Detail analysiert. Das manipulierte package.json enthielt ein preinstall-Skript, das automatisch beim Installieren eine Loader-Datei namens bw_setup.js ausführte. Diese lud die Bun-Runtime (Version 1.3.13) von GitHub herunter und startete ein obfuskiertes JavaScript-Payload (bw1.js). Der Schadcode zielte auf ein breites Spektrum sensibler Daten: GitHub- und npm-Tokens, SSH-Schlüssel, Shell-Historien sowie Zugangsdaten für AWS, Google Cloud und Azure. Ferner wurden GitHub-Actions-Secrets, Git-Credentials, .env-Dateien und sogar Konfigurationsdateien von KI-Tools wie Claude und MCP ausgelesen und an die Angreifer geschickt.

Die Exfiltration erfolgte primär verschlüsselt an die Adresse audit.checkmarx.cx (IP: 94.154.172.43). Als Fallback nutzte die Malware einen raffinierten Mechanismus: Gestohlene GitHub-Tokens wurden validiert, um unter dem Konto des Opfers Repositories zur Datenexfiltration anzulegen. Double-Base64-kodierte PATs wurden dabei in Commit-Messages mit dem Marker „LongLiveTheResistanceAgainstMachines“ versteckt.

Wer die Version 2026.4.0 im genannten Zeitfenster installiert hat, sollte umgehend handeln. Bitwarden empfiehlt die Deinstallation mit npm uninstall -g @bitwarden/cli und das Leeren des npm-Cache. Auf betroffenen Systemen sollten Administratoren nach den Artefakten bw_setup.js, bw1.js sowie einer heruntergeladenen Bun-Runtime suchen. Besonders wichtig ist die Rotation sämtlicher Zugangsdaten, die auf dem kompromittierten System gespeichert waren: GitHub Personal Access Tokens, npm-Tokens, AWS Access Keys, Azure- und GCP-Secrets sowie SSH-Schlüssel. Auch GitHub-Actions-Workflows sollten auf unautorisierte Ausführungen geprüft werden. Die Domain audit.checkmarx.cx und die IP 94.154.172.43 sollten in Firewalls blockiert werden.

Aktuell liefern alle Repositories wieder die reguläre Version 2026.3.0 aus. Diese und alle anderen Versionen der Bitwarden CLI außer 2026.4.0 sind laut Hersteller nicht betroffen. Produktionssysteme und Vault-Daten seien zu keinem Zeitpunkt kompromittiert worden.

À surveiller

Perspective IA — des possibilités, pas des certitudes

  • Weitere Unternehmen könnten ähnliche Kompromittierungen ihrer npm-Pakete melden

    Probable · En quelques semaines

  • Erhöhte Sicherheitsmaßnahmen bei npm und anderen Package-Managern

    Très probable · En quelques mois

Questions ouvertes

  • Wie genau wurde das npm-Konto kompromittiert?
  • Wer steckt hinter dem Angriff?
  • Wie viele Nutzer waren betroffen?
  • Gab es weitere kompromittierte Pakete im selben Zeitraum?

Sujets liés

This article was originally published by Heise Online.

Articles liés

Plus sur ce sujetbitwarden