CheckmarxのサプライチェーンキャンペーンがBitwardenに到達しました。JFrogとSocketの研究者は、パスワードマネージャーのバージョン@bitwarden/cli@2026.4.0に悪意のあるコードを検出しました。ファイルbw1.jsには有害なペイロードが含まれており、配布プロセスの脆弱性を悪用しています。ユーザーはインストールを確認し、リスクを軽減するために安全なバージョンに移行することが推奨されます。
bw1.jsの悪意のあるコードの技術的詳細 🛡️
この攻撃は、Bitwarden CLIのnpmパッケージ内、特にbw1.jsに難読化されたスクリプトを挿入しました。このコードは実行されると、ローカルに保存された認証情報やアクセストークンを外部に流出させる可能性がありました。この手法は、開発者がパッケージの整合性を確認せずにダウンロードするnpmエコシステムへの信頼を悪用しています。侵害されたバージョン2026.4.0は、検出されるまでの短期間配布されました。研究者は、インストールログを監査し、チェックサムを使用してソフトウェアの真正性を確認することを推奨しています。
あなたのパスワードマネージャーがリスクも管理するようになりました 😅
銀行やNetflixのパスワードを保管するあのパスワードマネージャーが、悪意のあるコードも保管していると知った時の信頼感といったらありませんね。データを安全に保つと約束したツールBitwardenは、今や爆弾パッケージを配達する郵便配達員と化しました。最悪なのは、マルウェアがnpmの裏口から忍び込んだことです。npmは、まるでフリーマーケットで買い物をするかのように誰もが依存関係をダウンロードする場所です。少なくとも攻撃者は、製品に適切なラベルを付ける礼儀はありました:2026.4.0、きっと忘れられないバージョンになるでしょう。