Bitwarden CLI 遭供应链攻击攻陷

发布于 2026年04月24日 | 从西班牙语翻译

Checkmarx供应链攻击已波及Bitwarden。JFrog和Socket的研究人员在密码管理器版本@bitwarden/cli@2026.4.0中检测到恶意代码。文件bw1.js包含有害载荷,利用了分发过程中的漏洞。建议用户验证安装并迁移到安全版本以降低风险。

一个带有破碎挂锁的密码管理器,终端中显示恶意代码,深色背景伴有安全警报。

bw1.js中恶意代码的技术细节 🛡️

攻击者在Bitwarden CLI的npm包中插入了一个混淆脚本,具体位于bw1.js。该代码执行后能够窃取本地存储的凭证和访问令牌。该技术利用了开发者对npm生态系统的信任——开发者下载包时往往不验证其完整性。被攻陷的版本2026.4.0在短时间内分发后即被发现。研究人员建议审计安装日志并使用校验和确认软件真实性。

你的密码管理器现在也开始管理风险了 😅

还有什么比得知你的密码管理器——那个存着银行和Netflix密码的工具——现在也开始存储恶意代码更讽刺的呢?Bitwarden,这个承诺保护你数据安全的工具,如今变成了递送炸弹包裹的邮递员。最糟糕的是,恶意软件是通过npm的后门潜入的,而npm正是所有人像逛跳蚤市场一样随意下载依赖的地方。至少攻击者还算体面地给产品贴上了标签:2026.4.0,这个版本你一定会记住。