Bitwarden CLI npm 包被劫持以窃取开发者凭证

执行摘要

2026年4月22日，Bitwarden在npm注册表上的官方CLI包被短暂入侵，攻击者发布了一个恶意版本的@bitwarden/cli，旨在窃取开发者凭证并传播到其他项目。这个恶意包在Bitwarden撤销之前活跃了几个小时。此事件突显了针对npm生态系统的供应链攻击的持续风险，特别是针对广泛使用的开发者工具。

技术分析

据BleepingComputer报道，恶意的@bitwarden/cli包包含了一个针对环境变量、配置文件和存储令牌的凭证窃取有效载荷。该恶意软件能够泄露凭证并传播到同一系统上的其他项目，扩大了潜在的爆炸半径。该包以与合法Bitwarden CLI相同的名称发布，使得开发者在不验证校验和或包签名的情况下难以区分恶意版本。

Bitwarden确认了入侵并检测到后撤销了恶意包。该公司没有披露攻击者获得npm发布凭证的确切方法，也没有披露被入侵版本的具体版本号。此事件遵循了针对npm包的供应链攻击模式，包括最近影响Docker镜像和VS Code扩展的Checkmarx KICS入侵。

缓解措施与建议

在4月22日至撤销时间之间安装或更新了@bitwarden/cli包的开发者应立即轮换受影响环境中存储的所有凭证，包括API密钥、SSH密钥和云提供商令牌。团队应通过与Bitwarden官方发布签名比较校验和来审计npm包的完整性。组织应实施npm包固定，使用完整性验证（例如，使用--audit-level=critical的npm audit），并将自动化CI/CD管道更新限制在受信任的注册表。Bitwarden建议使用官方GitHub发布或在安装前验证包哈希。