B
今週中
BitwardenのCLI用NPMパッケージ(バージョン2026.4.0)がサプライチェーン攻撃を受け、悪意のあるコードが混入しました
📌 一言でいうと
BitwardenのCLI用NPMパッケージ(バージョン2026.4.0)がサプライチェーン攻撃を受け、悪意のあるコードが混入しました。このマルウェアは、Azure、AWS、GitHub、GCPなどのクラウドサービスやNPMの認証情報、SSH鍵、シェル履歴などを窃取するように設計されています。さらに、盗み出したGitHubトークンを悪用して、被害者のアカウント内でリポジトリの作成やブランチ操作を行う機能も含まれています。
🏢影響範囲
Bitwarden CLI NPMパッケージを利用している開発者、企業、およびクラウドインフラ(AWS, Azure, GCP, GitHub)を運用している組織。
✅該当時の対応
直ちにBitwarden CLIのバージョンを確認し、影響を受けるバージョン(2026.4.0)を削除して安全なバージョンへ更新すること。また、漏洩した可能性があるクラウドサービスやGitHubのAPIトークン、認証情報を速やかにリセットし、不審なリポジトリやブランチが作成されていないか確認することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【重要】Bitwarden CLI NPMパッケージにおけるサプライチェーン攻撃への対応について
お疲れさまです。Bitwarden CLIのNPMパッケージで検出されたサプライチェーン攻撃に関する情報共有です。
■ 概要
Bitwarden CLIのNPMパッケージ(バージョン 2026.4.0)に悪意のあるコードが混入しました。このマルウェアは、AWS、Azure、GCP、GitHub、NPMなどのクラウドサービス認証情報やSSH鍵、シェル履歴などを窃取し、盗み出したGitHubトークンを用いて不正なリポジトリ作成やブランチ操作を行う機能を持っています。
■ 影響範囲
- 対象製品: Bitwarden CLI (NPM package)
- 影響バージョン: 2026.4.0
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、Bitwarden CLIのバージョンを確認してください。
2. 影響を受けるバージョン(2026.4.0)が検出された場合は、直ちに削除し、安全なバージョンへ更新してください。
3. 該当バージョンを利用していた環境では、クラウドサービス(AWS, Azure, GCP等)およびGitHubのAPIトークン、認証情報を速やかにリセットしてください。
4. GitHubアカウントにおいて、身に覚えのないリポジトリやブランチが作成されていないか確認してください。
■ 参考情報
- SecurityWeek / JFrog 等のセキュリティレポート
対応優先度: 高(至急の確認と対応を推奨します)
お疲れさまです。Bitwarden CLIのNPMパッケージで検出されたサプライチェーン攻撃に関する情報共有です。
■ 概要
Bitwarden CLIのNPMパッケージ(バージョン 2026.4.0)に悪意のあるコードが混入しました。このマルウェアは、AWS、Azure、GCP、GitHub、NPMなどのクラウドサービス認証情報やSSH鍵、シェル履歴などを窃取し、盗み出したGitHubトークンを用いて不正なリポジトリ作成やブランチ操作を行う機能を持っています。
■ 影響範囲
- 対象製品: Bitwarden CLI (NPM package)
- 影響バージョン: 2026.4.0
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、Bitwarden CLIのバージョンを確認してください。
2. 影響を受けるバージョン(2026.4.0)が検出された場合は、直ちに削除し、安全なバージョンへ更新してください。
3. 該当バージョンを利用していた環境では、クラウドサービス(AWS, Azure, GCP等)およびGitHubのAPIトークン、認証情報を速やかにリセットしてください。
4. GitHubアカウントにおいて、身に覚えのないリポジトリやブランチが作成されていないか確認してください。
■ 参考情報
- SecurityWeek / JFrog 等のセキュリティレポート
対応優先度: 高(至急の確認と対応を推奨します)
Subject: [Action Required] Supply Chain Attack affecting Bitwarden CLI NPM Package
Hi all,
This is a security advisory regarding a supply chain attack targeting the Bitwarden CLI NPM package.
■ Overview
Malicious code has been identified in version 2026.4.0 of the Bitwarden CLI NPM package. The malware is designed to steal secrets and tokens from Azure, AWS, GitHub, GCP, and NPM, as well as SSH materials and shell history. Furthermore, it can abuse stolen GitHub tokens to create unauthorized repositories and branches within the victim's account.
■ Scope
- Product: Bitwarden CLI (NPM package)
- Affected Version: 2026.4.0
■ Mitigation Steps
1. Audit development environments and CI/CD pipelines to identify the installed version of the Bitwarden CLI.
2. If version 2026.4.0 is found, remove it immediately and update to a known secure version.
3. Rotate and reset all cloud service credentials (AWS, Azure, GCP, etc.) and GitHub API tokens that may have been exposed.
4. Inspect GitHub accounts for any unauthorized repositories or branches created by the malware.
■ Reference
- Security reports from SecurityWeek / JFrog
Priority: High (Prompt action is strongly recommended)
Hi all,
This is a security advisory regarding a supply chain attack targeting the Bitwarden CLI NPM package.
■ Overview
Malicious code has been identified in version 2026.4.0 of the Bitwarden CLI NPM package. The malware is designed to steal secrets and tokens from Azure, AWS, GitHub, GCP, and NPM, as well as SSH materials and shell history. Furthermore, it can abuse stolen GitHub tokens to create unauthorized repositories and branches within the victim's account.
■ Scope
- Product: Bitwarden CLI (NPM package)
- Affected Version: 2026.4.0
■ Mitigation Steps
1. Audit development environments and CI/CD pipelines to identify the installed version of the Bitwarden CLI.
2. If version 2026.4.0 is found, remove it immediately and update to a known secure version.
3. Rotate and reset all cloud service credentials (AWS, Azure, GCP, etc.) and GitHub API tokens that may have been exposed.
4. Inspect GitHub accounts for any unauthorized repositories or branches created by the malware.
■ Reference
- Security reports from SecurityWeek / JFrog
Priority: High (Prompt action is strongly recommended)