Bitwarden 关于 Checkmarx 供应链事件的声明
Bitwarden 安全团队识别并包含一个恶意包,该包通过 npm 传送路径短暂分发 @bitwarden/cli@2026。4。0 于 2026 年 4 月 22 日下午 5:57 至晚上 7:30(美国东部时间)之间发布,与更广泛的 Checkmarx 供应链事件有关。
我受到影响了吗?
如果您使用 Bitwarden 命令行界面并使用 NPM 进行部署,并于 2026 年 4 月 22 日美国东部时间 5:57p 至 7:30p 之间下载 CLI,您可能会受到影响。请参阅下面的修复步骤。
如果您不使用 Bitwarden 命令行界面,则不会受到影响。
调查目前没有发现最终用户保险库数据被访问或面临风险,或生产数据或生产系统受到损害的证据。
发生什么事了?
调查目前没有发现最终用户保险库数据被访问或面临风险,或生产数据或生产系统受到损害的证据。一旦检测到问题,受损的访问将被撤销,恶意 npm 版本将被弃用,并立即启动修复步骤。
该问题影响了该有限窗口期间 CLI 的 npm 分发机制,而不是合法 Bitwarden CLI 代码库或存储的保险库数据的完整性。
在该窗口期间未从 npm 下载软件包的用户不受影响。Bitwarden 已完成对内部环境、发布路径和相关系统的审查,目前尚未发现其他受影响的产品或环境。针对此事件,Bitwarden CLI 版本 2026。4。0 的 CVE 正在发布。
受影响的用户应该做什么?
只有在受影响窗口期间通过 NPM 安装 Bitwarden CLI 2026。4。0 的用户才会受到影响。如果您是受影响的用户,Bitwarden 建议您采取以下操作
立即通过 npm 卸载 Bitwarden CLI 2026。4。0
npm uninstall -g @bitwarden/cli
清除 npm 缓存
npm cache clean --force
作为预防措施,在清理过程中暂时禁用 npm 安装脚本
npm config set ignore-scripts true
审查 JFrog 概述的附加指标和清理步骤 在这里
旋转可能暴露在受影响系统上或存储在环境变量中的任何机密,包括 API 令牌和 SSH 密钥(列出的示例 在这里 & 在这里)
审查 GitHub 活动、CI 工作流程和相关凭据,了解未经授权的访问或更改
安装 Bitwarden CLI 2026。4。1
Bitwarden 正在完成全面审查,并将实施缓解措施,以防止未来发生此类攻击
安全专家长期以来一直明确建议:使用密码管理器。尽管有消息称市场领导者之一 Bitwarden 已确认发生严重安全事件,导致受感染产品在短时间内发布,但这一建议仍然有效。如果安装,恶意 Bitwarden CLI Node Package Manager 产品会包含窃取凭据的有效负载。Bitwarden 是该系列中的最新一款 npm 包 供应链妥协,但对于绝大多数 Bitwarden 密码管理器用户来说,天空并没有塌下来,没有必要恐慌。
:Bitwarden 在一份声明中证实,它已经 “识别并包含一个恶意包裹,该包裹于 2026 年 4 月 22 日下午 5:57 至晚上 7:30(美国东部时间)之间通过 npm 传送路径短暂分发给 @bitwarden/cli@2026。4。0,与更广泛的 Checkmarx 供应链事件有关。” 为了进一步说明这一点,根据 Bitwarden 社区论坛的主持人的说法,“似乎只有 334 位 Bitwarden 用户 在 CLI 可用期间下载了 CLI 的恶意版本
对于安全公司 Checkmarx 来说,这是糟糕的六周。在过去的 40 天里,它至少遭受过一次供应链攻击,两次向客户传播恶意软件。现在,它遭到了多产追求名利的黑客的勒索软件攻击。
一连串的不幸始于 3 月 19 日 供应链攻击 Trivy,一个广泛使用的漏洞扫描器。此次入侵背后的攻击者首先入侵了 Trivy GitHub 帐户,然后利用他们的访问权限向 Trivy 用户(其中之一就是 Checkmarx)推送恶意软件。推送的恶意软件会搜索受感染的机器以获取存储库令牌、SSH 密钥和其他凭据。
目标和交付机制
四天后,Checkmarx 的 GitHub 帐户遭到入侵,并开始向该安全公司的用户推送恶意软件。该公司遏制并纠正了违规行为,并用合法应用程序取代了恶意软件。Checkmarx 认为是这样。
4 月 22 日,该公司的 GitHub 帐户引发了新一波恶意软件,表明之前的漏洞尚未完全修复,或者发生了新的、身份不明的黑客攻击。该公司再次努力将攻击者赶出账户。据安全公司 Socket 称,官方 Checkmarx/kics Docker Hub 仓库也 已发布的恶意软件包 大约在同一时间。
周一,Checkmarx 透露该传奇还有另一章。公司 说 一个勒索软件组织上周追踪到 Lapsu$ 将一批私人数据倾倒在暗网上。倾倒材料的日期戳是3月30日。根据日期戳,攻击者似乎在 Checkmarx 于 3 月 23 日发现入侵事件后仍保留了对 GitHub 帐户的访问权限,并且将他们驱逐出去的尝试失败了。
“Checkmarx 周一表示,目前的证据表明这些数据源自 Checkmarx 的 GitHub 存储库,并且对这些存储库的访问是通过 2023 年 3 月 23 日的初始供应链攻击实现的。” 该公司没有透露泄露了哪些类型的数据。
Checkmarx 并不是唯一一家遭受 Trivy 漏洞后遗症的安全公司。插座 说 另一家安全公司 Bitwarden 也遭遇了同样的供应链攻击。Socket 将 Bitwarden 漏洞与 Trivy 活动联系起来,因为有效载荷使用与 Checkmarx 恶意软件相同的 C2 端点和核心基础设施
Bitwarden 安全团队识别并包含一个恶意包,该包通过 npm 传送路径短暂分发 @bitwarden/cli@2026。4。0 于 2026 年 4 月 22 日下午 5:57 至晚上 7:30(美国东部时间)之间发布,与更广泛的 Checkmarx 供应链事件有关。
我受到影响了吗?
如果您使用 Bitwarden 命令行界面并使用 NPM 进行部署,并于 2026 年 4 月 22 日美国东部时间 5:57p 至 7:30p 之间下载 CLI,您可能会受到影响。请参阅下面的修复步骤。
如果您不使用 Bitwarden 命令行界面,则不会受到影响。
调查目前没有发现最终用户保险库数据被访问或面临风险,或生产数据或生产系统受到损害的证据。
发生什么事了?
调查目前没有发现最终用户保险库数据被访问或面临风险,或生产数据或生产系统受到损害的证据。一旦检测到问题,受损的访问将被撤销,恶意 npm 版本将被弃用,并立即启动修复步骤。
该问题影响了该有限窗口期间 CLI 的 npm 分发机制,而不是合法 Bitwarden CLI 代码库或存储的保险库数据的完整性。
在该窗口期间未从 npm 下载软件包的用户不受影响。Bitwarden 已完成对内部环境、发布路径和相关系统的审查,目前尚未发现其他受影响的产品或环境。针对此事件,Bitwarden CLI 版本 2026。4。0 的 CVE 正在发布。
受影响的用户应该做什么?
只有在受影响窗口期间通过 NPM 安装 Bitwarden CLI 2026。4。0 的用户才会受到影响。如果您是受影响的用户,Bitwarden 建议您采取以下操作
立即通过 npm 卸载 Bitwarden CLI 2026。4。0
npm uninstall -g @bitwarden/cli
清除 npm 缓存
npm cache clean --force
作为预防措施,在清理过程中暂时禁用 npm 安装脚本
npm config set ignore-scripts true
审查 JFrog 概述的附加指标和清理步骤 在这里
旋转可能暴露在受影响系统上或存储在环境变量中的任何机密,包括 API 令牌和 SSH 密钥(列出的示例 在这里 & 在这里)
审查 GitHub 活动、CI 工作流程和相关凭据,了解未经授权的访问或更改
安装 Bitwarden CLI 2026。4。1
Bitwarden 正在完成全面审查,并将实施缓解措施,以防止未来发生此类攻击
安全专家长期以来一直明确建议:使用密码管理器。尽管有消息称市场领导者之一 Bitwarden 已确认发生严重安全事件,导致受感染产品在短时间内发布,但这一建议仍然有效。如果安装,恶意 Bitwarden CLI Node Package Manager 产品会包含窃取凭据的有效负载。Bitwarden 是该系列中的最新一款 npm 包 供应链妥协,但对于绝大多数 Bitwarden 密码管理器用户来说,天空并没有塌下来,没有必要恐慌。
:Bitwarden 在一份声明中证实,它已经 “识别并包含一个恶意包裹,该包裹于 2026 年 4 月 22 日下午 5:57 至晚上 7:30(美国东部时间)之间通过 npm 传送路径短暂分发给 @bitwarden/cli@2026。4。0,与更广泛的 Checkmarx 供应链事件有关。” 为了进一步说明这一点,根据 Bitwarden 社区论坛的主持人的说法,“似乎只有 334 位 Bitwarden 用户 在 CLI 可用期间下载了 CLI 的恶意版本
对于安全公司 Checkmarx 来说,这是糟糕的六周。在过去的 40 天里,它至少遭受过一次供应链攻击,两次向客户传播恶意软件。现在,它遭到了多产追求名利的黑客的勒索软件攻击。
一连串的不幸始于 3 月 19 日 供应链攻击 Trivy,一个广泛使用的漏洞扫描器。此次入侵背后的攻击者首先入侵了 Trivy GitHub 帐户,然后利用他们的访问权限向 Trivy 用户(其中之一就是 Checkmarx)推送恶意软件。推送的恶意软件会搜索受感染的机器以获取存储库令牌、SSH 密钥和其他凭据。
目标和交付机制
四天后,Checkmarx 的 GitHub 帐户遭到入侵,并开始向该安全公司的用户推送恶意软件。该公司遏制并纠正了违规行为,并用合法应用程序取代了恶意软件。Checkmarx 认为是这样。
4 月 22 日,该公司的 GitHub 帐户引发了新一波恶意软件,表明之前的漏洞尚未完全修复,或者发生了新的、身份不明的黑客攻击。该公司再次努力将攻击者赶出账户。据安全公司 Socket 称,官方 Checkmarx/kics Docker Hub 仓库也 已发布的恶意软件包 大约在同一时间。
周一,Checkmarx 透露该传奇还有另一章。公司 说 一个勒索软件组织上周追踪到 Lapsu$ 将一批私人数据倾倒在暗网上。倾倒材料的日期戳是3月30日。根据日期戳,攻击者似乎在 Checkmarx 于 3 月 23 日发现入侵事件后仍保留了对 GitHub 帐户的访问权限,并且将他们驱逐出去的尝试失败了。
“Checkmarx 周一表示,目前的证据表明这些数据源自 Checkmarx 的 GitHub 存储库,并且对这些存储库的访问是通过 2023 年 3 月 23 日的初始供应链攻击实现的。” 该公司没有透露泄露了哪些类型的数据。
Checkmarx 并不是唯一一家遭受 Trivy 漏洞后遗症的安全公司。插座 说 另一家安全公司 Bitwarden 也遭遇了同样的供应链攻击。Socket 将 Bitwarden 漏洞与 Trivy 活动联系起来,因为有效载荷使用与 Checkmarx 恶意软件相同的 C2 端点和核心基础设施