Bitwarden bestätigt kurzzeitige Sicherheitslücke bei npm, von der das CLI-Paket betroffen war

Bitwarden hat bestätigt, dass es zu einer kurzzeitigen Sicherheitslücke in der Lieferkette seines npm-Pakets CLI 2026.4.0 gekommen ist, wobei keine Hinweise auf eine Offenlegung von Tresordaten vorliegen.
Eine Übersetzung von 🇬🇧 Linuxiac.com

Bitwarden, ein Open-Source-Dienst zur Passwortverwaltung, bestätigte, dass sein Befehlszeilen-Client kurzzeitig von einer Sicherheitslücke in der Lieferkette betroffen war, die das npm-Paket für CLI 2026.4.0 betraf.

Das Sicherheitsteam identifizierte und isolierte ein bösartiges Paket, das am 22. April 2026 zwischen 17:57 Uhr und 19:30 Uhr (ET) über npm für @bitwarden/cli@2026.4.0 verteilt wurde. Dieser Vorfall war Teil einer umfassenderen Checkmarx-Supply-Chain-Kampagne, die auf Software-Publishing-Workflows abzielte.

Bitwarden gibt an, dass das Problem auf den npm-Verteilungsmechanismus für die CLI während dieses Zeitraums beschränkt war und keine Auswirkungen auf den offiziellen CLI-Code oder gespeicherte Tresordaten hatte. Das Unternehmen fand keine Hinweise auf einen Zugriff auf Tresordaten von Endnutzern oder eine Kompromittierung von Produktionssystemen oder -daten.

Die Untersuchung ergab keine Hinweise darauf, dass auf Daten im Endbenutzer-Vault zugegriffen wurde oder diese gefährdet waren, oder dass Produktionsdaten oder Produktionssysteme kompromittiert wurden. Sobald das Problem entdeckt wurde, wurden die betroffenen Zugriffsrechte widerrufen, die schädliche npm-Version als veraltet markiert und unverzüglich Maßnahmen zur Behebung des Problems eingeleitet.

🐛 Das kompromittierte Paket war weniger als zwei Stunden lang verfügbar und betrifft nur Nutzer, die Bitwarden CLI 2026.4.0 während dieses Zeitraums über npm installiert haben. Bitwarden bestätigt, dass Nutzer der Browser-Erweiterung, der Desktop-App, der mobilen App, des Servers oder des Snap-Pakets nicht betroffen sind.

Sicherheitsforscher bei Socket berichteten, dass die schädliche Payload in einer Datei namens bw1.js innerhalb des npm-Pakets enthalten war. Ihre Analyse bringt dieses Paket mit einer umfassenderen Supply-Chain-Aktivität in Verbindung, an der kompromittierte GitHub-Actions-Workflows und Malware zum Diebstahl von Anmeldedaten beteiligt waren.

Wichtig ist, dass die Payload darauf abzielte, Entwickler- und Infrastrukturgeheimnisse zu sammeln, nicht den Inhalt des Bitwarden-Tresors. Laut Socket zielte sie auf GitHub-Token, npm-Token, SSH-Schlüssel, Cloud-Anmeldedaten, .npmrc-Dateien, Umgebungsvariablen, Shell-Verlauf, Git-Anmeldedaten und CI/CD-Geheimnisse ab. Sie prüfte zudem auf Persistenz durch Shell-Profil-Dateien wie .bashrc und .zshrc.

Bitwarden hat die bösartige npm-Version als veraltet markiert, den kompromittierten Zugriff widerrufen und Bitwarden CLI 2026.4.1 veröffentlicht.

🎓 Benutzer, die das betroffene npm-Paket installiert haben, sollten es deinstallieren, den npm-Cache leeren, npm-Installationsskripte während der Bereinigung vorübergehend deaktivieren, potenziell gefährdete Anmeldedaten ändern und GitHub-Aktivitäten, CI-Workflows sowie zugehörige Anmeldedaten auf unbefugte Änderungen überprüfen.

Spendieren Sie Bobby einen ☕ Ko-fi

s3n🧩net wünscht viel Vergnügen