Bitwarden CLI、npm 2026.4.0 のサプライチェーン侵害
Bitwarden は、npm 経由の @bitwarden/cli 2026.4.0 について、Checkmarx 関連の広範なサプライチェーン事案に接続して悪意あるパッケージが配布されたと特定し、封じ込めたと表明した。悪意あるリリースは npm 上で非推奨化され、アクセスは取り消されている。エンドユーザーの保管庫データが読まれた・危険に晒された証拠はなく、本番データや本番システムが侵害された証拠もないとしている。同件に紐づく CVE の付与が進行中である。
影響は、米東部時刻で 2026年4月22日 17<57> から 19<30> までの間に npm から 2026.4.0 を取得した環境に限られる。その時間外に npm から入れていなければ対象外である。
Socket の研究ブログは、パッケージ内の bw1.js にペイロードがあり、GitHub や npm のトークン、クラウド・SSH など開発者マシン周りの資格情報を狙う挙動があると報告している。同記事では、既に公表されている Checkmarx 系キャンペーンと C2 や難読化のパターンが重なる旨も整理されている。
該当する利用者には、グローバル導入なら npm uninstall -g @bitwarden/cli、npm cache clean --force、必要に応じて一時的に npm config set ignore-scripts true としたうえで、影響を受けたマシン・CI で触れうるシークレットのローテーション、GitHub のリポジトリやワークフローへの不正の有無確認が推奨されている。後継として Bitwarden は CLI 2026.4.1 を公開しており、GitHub のリリース資産では 2026.3.0 相当の再リリースとして位置づけられている。