BEDROHUNG
Bitwarden bestätigte einen Sicherheitsvorfall: Das npm-Paket @bitwarden/cli in Version 2026.4.0 wurde am 22. April für etwa zwei Stunden mit Schadcode ausgeliefert.
Nach Informationen von JFrog, Socket und OX Security enthielt das manipulierte Paket ein preinstall-Skript, das über eine Loader-Datei mit der Bezeichnung bw_setup.js die Bun-Runtime nachlud und anschließend eine obfuskierte JavaScript-Payload ausführte. Die Malware hatte es unter anderem auf GitHub-Tokens, SSH-Schlüssel sowie Zugangsdaten für AWS, Azure und Google Cloud abgesehen. Auch CI/CD-Pipelines und GitHub-Actions-Secrets waren betroffen.
Die Exfiltration erfolgte unter anderem über audit.checkmarx[.]cx sowie über GitHub-Repositories, die zuvor durch kompromittierte Nutzerkonten angelegt wurden. Der Vorfall steht nach Angaben von Bitwarden im Zusammenhang mit der Checkmarx-Supply-Chain-Kampagne. Wer die betroffene Version im entsprechenden Zeitraum installiert hat, sollte sein System als potenziell kompromittiert betrachten und gespeicherte Zugangsdaten rotieren.
Was jetzt zu tun ist:
- Betroffene Version umgehend entfernen
- GitHub-, npm-, Cloud-, SSH- und CI/CD-Secrets rotieren
GitHub-Repositories, Actions und Workflows auf unautorisierte Änderungen prüfen
PRÄVENTION & DETEKTION
EDR‑Lösungen ,wie SentinelOne oder Microsoft Defender, sorgen für umfassende Transparenz auf Endpunkten. Endpoint Detection and Response erkennt verdächtige Zugriffe und macht selbst komplexe Cyberangriffe analysierbar und kontrollierbar.
Autor: Michael Niers
