Bitwarden CLI npm 包遭供应链攻击：影响约 1.5 小时，可窃取开发者凭证

4 月 24 日消息，科技媒体 bleepingcomputer 昨日（4 月 23 日）发布博文，报道称 Bitwarden CLI 的 npm 包遭供应链攻击，恶意版本 2026.4.0 被用于窃取开发者 npm 令牌、SSH 密钥及云凭证等。

注：供应链攻击是一种针对软件开发流程的网络攻击方式。攻击者通过入侵代码仓库、构建工具或依赖包，在合法软件的分发环节植入恶意代码，从而绕过终端防御，直接感染下游用户或开发者。

本次攻击于美国东部时间 2026 年 4 月 22 日 17 点 57 分（北京时间 23 日 5 点 57 分）开始，持续约 1 个半小时，相关恶意包在美国东部时间 22 日 19 点 30 分删除。

技术分析显示，恶意包通过 bw_setup.js 加载器检测，并利用 Bun Runtime 执行 bw1.js 脚本，该脚本旨在窃取 npm 令牌、GitHub 认证令牌、SSH 密钥及 AWS、Azure 等云服务凭证。

恶意软件还具备自传播功能，能利用窃取的凭证扫描并感染受害者可修改的其他包，扩大攻击范围。窃取的数据经 AES-256-GCM 加密后，被上传至包含“Shai-Hulud”标记的受害者公开 GitHub 仓库。

此次攻击被安全机构归因于威胁行为者 TeamPCP，其利用与 Checkmarx 事件关联的受损工具，滥用 npm 分发路径注入恶意代码。

Bitwarden 声明用户保险库数据未受影响，已撤销受损权限并弃用恶意版本。安全机构强烈建议受影响开发者立即轮换 CI / CD 流水线及云环境凭证。

Bitwarden 是一款开源、免费且安全的跨平台密码管理器，旨在帮助用户存储、生成和管理复杂的账户密码。它可以在加密的“数字保管库”中安全存储登录信息、信用卡号等隐私数据，支持自动填充，支持主流浏览器和移动设备。