Bitwarden CLI getroffen door supplychain aanval

In dit artikel:

Securitybedrijf Socket meldt dat de CLI-versie van wachtwoordmanager Bitwarden recent het doelwit was van een supplychain-aanval: aanvallers misbruikten een gecompromitteerde GitHub Action in de CI/CD-pijplijn en publiceerden vervolgens een gebackdoorde npm-package (versie 2026.4.0). Volgens Socket zit de schadelijke code in bw1.js, die veel overeenkomsten vertoont met mcpAddon.js uit de Checkmarx-supplychainaanval.

De malware zoekt en exfiltreert uiteenlopende secrets—onder meer GitHub-tokens, AWS-, Azure- en GCP-credentials, npm-configs, SSH-sleutels, omgevingsvariabelen en toolspecifieke configuraties zoals Claude—anders genoemd—naar een externe server. Voor zover bekend betroffen alleen de via npm verspreide commandline-versie; de rest van Bitwarden lijkt niet aangetast.

Socket raadt getroffen organisaties aan het geïnfecteerde package onmiddellijk van ontwikkel-, build- en productiesystemen te verwijderen en alle mogelijk gelekte credentials en secrets direct te roteren. Als aanvullende voorzorgsmaatregel is het verstandig afhankelijkheden en CI-workflows te auditen, versies te pinnen en toegangstokens op het principe van minimale rechten in te stellen.