Bitwarden CLI 遭供应链攻击，恶意包分发持续 1.5 小时

Gate News 消息，4 月 24 日——据 SlowMist 首席信息安全官 23pds 称，Bitwarden CLI 版本 2026.4.0 于 4 月 24 日 17:57 至 19:30（美东时间）期间遭到供应链攻击而被篡改。攻击者利用 Bitwarden 的 CI/CD 流水线中的 GitHub Actions 注入了一个恶意包，该恶意包被短暂地通过 npm 分发。

此次攻击针对的是仓库的持续集成工作流，使未经授权的代码能够到达包注册表。不过，Bitwarden 确认 Vault 数据未遭破坏，生产系统未受影响，且仅在这 1.5 小时窗口内从 npm 安装了 2026.4.0 版本的用户受到影响。

Bitwarden 建议受影响用户立即卸载 2026.4.0 版本，清理 npm 缓存，轮换 API 令牌和 SSH 密钥，审计 GitHub 与 CI 活动是否存在异常，并升级至已修补版本 2026.4.1。