Gate Newsメッセージ、4月24日 — SlowMist CISO 23pdsによると、4月24日の17:57〜19:30(ET)の間にサプライチェーン攻撃があり、Bitwarden CLIバージョン2026.4.0が侵害されていた。攻撃者はBitwardenのCI/CDパイプラインにおけるGitHub Actionsを悪用して、npm経由で一時的に配布された悪意のあるパッケージを注入した。
この攻撃はリポジトリの継続的インテグレーション(CI)ワークフローを標的にしており、不正なコードがパッケージレジストリに到達できるようにしていた。 ただしBitwardenは、Vaultデータは侵害されておらず、生産(本番)システムにも影響がなく、影響を受けたのは1.5時間の猶予期間中にnpmからバージョン2026.4.0をインストールしたユーザーのみであることを確認した。
Bitwardenは、影響を受けたユーザーに対し、直ちにバージョン2026.4.0をアンインストールし、npmキャッシュを消去し、APIトークンとSSHキーをローテーションし、異常がないかGitHubおよびCIのアクティビティを監査し、修正済みのバージョン2026.4.1にアップグレードするよう助言した。
