Kurze Info für alle, die den Passwortmanager Bitwarden nutzen. Während die meisten von euch wahrscheinlich mit der Browser-Erweiterung oder der App auf dem Smartphone unterwegs sind, gibt es Neuigkeiten für die Profi-Ecke: Die Sicherheitsforscher von Socket haben Alarm geschlagen, da das Kommandozeilen-Werkzeug (CLI) von Bitwarden wohl kurzzeitig kompromittiert wurde. Es handelt sich um einen klassischen Supply-Chain-Angriff. Angreifer haben es angeblich geschafft, die automatisierte Erstellung des Tools (via GitHub Actions) zu manipulieren. Dabei wurde ein bösartiges Skript namens bw1.js in das offizielle Paket geschmuggelt.
Dieses Skript war darauf ausgelegt, im Hintergrund sensible Daten wie API-Keys oder Umgebungsvariablen abzugreifen und an einen externen Server zu senden. Betroffen ist die Version 2026.4.0 des Pakets @bitwarden/cli.
So, wie ich das verstehe:
- Nicht betroffen: Die „normalen“ Apps für iOS, Android, Windows/Mac sowie die Browser-Erweiterungen (Chrome, Firefox, etc.).
- Betroffen: Nur Nutzer (vermutlich meist Entwickler oder Admins), die das CLI-Tool in dem fraglichen Zeitraum manuell via npm installiert oder aktualisiert haben.
Die Verantwortlichen haben schnell reagiert. Die bösartige Version wurde bereits aus dem npm-Register entfernt und durch eine saubere Version ersetzt. Wer die betroffene Version im Einsatz hatte, sollte diese umgehend löschen und auf die neueste Version aktualisieren. Lest euch unbedingt den Beitrag dazu durch, denn die schreiben, dass sie derzeit noch Untersuchungen durchführen, dazu gibt’s weiterführende Tipps.
Statement Bitwarden:
Die Untersuchung ergab keine Hinweise darauf, dass auf die Tresordaten der Endnutzer zugegriffen wurde oder diese gefährdet waren, oder dass Produktionsdaten oder Produktionssysteme kompromittiert wurden. Sobald das Problem erkannt wurde, wurden die kompromittierten Zugriffsrechte widerrufen, die schädliche npm-Version als veraltet markiert und sofort Abhilfemaßnahmen eingeleitet. Das Problem betraf während dieses begrenzten Zeitfensters den npm-Verteilungsmechanismus für die CLI, nicht jedoch die Integrität der legitimen Bitwarden-CLI-Codebasis oder der gespeicherten Tresordaten. Benutzer, die das Paket während dieses Zeitfensters nicht von npm heruntergeladen haben, waren nicht betroffen. Bitwarden hat eine Überprüfung der internen Umgebungen, Release-Pfade und zugehörigen Systeme abgeschlossen, und es wurden derzeit keine weiteren betroffenen Produkte oder Umgebungen identifiziert. Im Zusammenhang mit diesem Vorfall wird eine CVE für die Bitwarden-CLI-Version 2026.4.0 herausgegeben.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.