Die Lieferketten-Kampagne von Checkmarx hat Bitwarden erreicht. Forscher von JFrog und Socket entdeckten bösartigen Code in der Version @bitwarden/cli@2026.4.0 des Passwortmanagers. Die Datei bw1.js enthält die schädliche Nutzlast und nutzt Schwachstellen im Distributionsprozess aus. Benutzer werden aufgefordert, ihre Installationen zu überprüfen und auf eine sichere Version zu migrieren, um Risiken zu reduzieren.
Technische Details des bösartigen Codes in bw1.js 🛡️
Der Angriff führte ein verschleiertes Skript in das npm-Paket der Bitwarden CLI ein, speziell in bw1.js. Dieser Code konnte bei Ausführung lokal gespeicherte Anmeldeinformationen und Zugriffstoken exfiltrieren. Die Technik nutzt das Vertrauen in das npm-Ökosystem aus, wo Entwickler Pakete herunterladen, ohne deren Integrität zu überprüfen. Die kompromittierte Version 2026.4.0 wurde für einen kurzen Zeitraum verteilt, bevor sie entdeckt wurde. Die Forscher empfehlen, die Installationsprotokolle zu prüfen und Prüfsummen zu verwenden, um die Authentizität der Software zu bestätigen.
Dein Passwortmanager verwaltet jetzt auch Risiken 😅
Denn nichts sagt Vertrauen so sehr wie die Erkenntnis, dass dein Passwortmanager, der deine Bank- und Netflix-Zugänge bewahrt, jetzt auch bösartigen Code speichert. Bitwarden, das Tool, das versprach, deine Daten sicher zu verwahren, ist zum Briefträger geworden, der Paketbomben ausliefert. Das Schlimmste ist, dass sich die Malware durch die Hintertür von npm eingeschlichen hat, dem gleichen Ort, an dem alle ihre Abhängigkeiten herunterladen, als ob sie auf einem Flohmarkt einkaufen würden. Immerhin hatten die Angreifer die Anständigkeit, ihr Produkt ordentlich zu kennzeichnen: 2026.4.0, eine Version, an die du dich sicher erinnern wirst.