SlowMist CISO:Bitwarden CLI 遭供應鏈攻擊,惡意包短暫流通約 1.5小時
SlowMist CISO 23pds(@im23pds)披露,密碼管理工具 Bitwarden CLI 版本 2026.4.0 於 4 月 22 日美東時間 17:57 至 19:30 期間遭受 Checkmarx 供應鏈攻擊,攻擊者通過濫用 Bitwarden CI/CD 管道中的 GitHub Action,將惡意包短暫經由 npm 分發。官方確認 Vault 數據未泄露,生產系統未受影響,僅該時間窗口內通過 npm 安裝該版本的用戶受到波及。官方建議受影響用戶立即卸載 2026.4.0、清理 npm 緩存、輪換 API Token 及 SSH Key 等敏感憑證、排查 GitHub 與 CI 異常活動,並升級至修復版本 2026.4.1。
