B
今週中
Bitwarden CLIのnpmパッケージに悪意のあるバージョン(2026.4.0)が公開され、開発者の認証情報を盗み出す攻撃が発生しました
📌 一言でいうと
Bitwarden CLIのnpmパッケージに悪意のあるバージョン(2026.4.0)が公開され、開発者の認証情報を盗み出す攻撃が発生しました。この悪意のあるパッケージは短期間のみ配布され、現在は削除されています。Bitwarden社は、本件はnpm配布チャネルのみに影響し、ユーザーの保管庫データや本番システムへの影響はなかったと報告しています。
🏢影響範囲
Bitwarden CLIをnpm経由で利用している開発者および組織
✅該当時の対応
npmパッケージのバージョンを確認し、悪意のあるバージョン(2026.4.0)をインストールした場合は直ちに削除し、認証情報をリセットしてください。また、依存関係の整合性を確認するためのロックファイルを活用することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【重要】Bitwarden CLI npmパッケージにおけるサプライチェーン攻撃について
お疲れさまです。Bitwarden CLIのnpmパッケージで検出された悪意のあるコードに関する情報共有です。
■ 概要
Bitwarden CLIのnpm配布チャネルにおいて、認証情報を窃取するペイロードを含む悪意のあるバージョン(v2026.4.0)が短期間公開されていました。攻撃者は開発者の認証情報を盗み出し、他のプロジェクトへ拡散させる能力を持っていたとされています。
■ 影響範囲
- 対象製品: Bitwarden CLI (npm package)
- 影響バージョン: 2026.4.0
- 影響期間: 2026年4月22日 17:57 〜 19:30 (ET)
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、@bitwarden/cli のバージョンが 2026.4.0 になっていないか確認してください。
2. 当該バージョンをインストールしていた場合は、直ちにパッケージを削除し、クリーンなバージョンへ再インストールしてください。
3. 漏洩の可能性があるため、当該環境で使用していた認証情報(APIキー等)を速やかにリセットしてください。
4. 今後の再発防止のため、npm lockファイル(package-lock.json等)による依存関係の固定を徹底してください。
■ 参考情報
- Bitwarden 公式ステートメント
- Socket / JFrog / OX Security レポート
対応優先度: 高(速やかな確認と対応を推奨)
お疲れさまです。Bitwarden CLIのnpmパッケージで検出された悪意のあるコードに関する情報共有です。
■ 概要
Bitwarden CLIのnpm配布チャネルにおいて、認証情報を窃取するペイロードを含む悪意のあるバージョン(v2026.4.0)が短期間公開されていました。攻撃者は開発者の認証情報を盗み出し、他のプロジェクトへ拡散させる能力を持っていたとされています。
■ 影響範囲
- 対象製品: Bitwarden CLI (npm package)
- 影響バージョン: 2026.4.0
- 影響期間: 2026年4月22日 17:57 〜 19:30 (ET)
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、@bitwarden/cli のバージョンが 2026.4.0 になっていないか確認してください。
2. 当該バージョンをインストールしていた場合は、直ちにパッケージを削除し、クリーンなバージョンへ再インストールしてください。
3. 漏洩の可能性があるため、当該環境で使用していた認証情報(APIキー等)を速やかにリセットしてください。
4. 今後の再発防止のため、npm lockファイル(package-lock.json等)による依存関係の固定を徹底してください。
■ 参考情報
- Bitwarden 公式ステートメント
- Socket / JFrog / OX Security レポート
対応優先度: 高(速やかな確認と対応を推奨)
Subject: [Security Advisory] Supply Chain Compromise of Bitwarden CLI npm Package
Hi all,
This is a security notification regarding a malicious release of the Bitwarden CLI npm package.
■ Overview
A malicious version of the @bitwarden/cli package (v2026.4.0) was briefly uploaded to the npm registry. This version contained a credential-stealing payload designed to exfiltrate developer credentials and potentially spread to other projects.
■ Scope
- Affected Product: Bitwarden CLI (npm package)
- Affected Version: 2026.4.0
- Exposure Window: April 22, 2026, from 5:57 PM to 7:30 PM ET
■ Required Actions
1. Audit developer environments and CI/CD pipelines to check if @bitwarden/cli version 2026.4.0 was installed.
2. If the malicious version is found, remove the package immediately and reinstall a verified version.
3. Rotate and reset any credentials (API keys, tokens) that may have been exposed on affected systems.
4. Ensure the use of lock files (e.g., package-lock.json) to maintain dependency integrity.
■ Reference
- Bitwarden Official Statement
- Reports by Socket, JFrog, and OX Security
Priority: High (Prompt action is recommended)
Hi all,
This is a security notification regarding a malicious release of the Bitwarden CLI npm package.
■ Overview
A malicious version of the @bitwarden/cli package (v2026.4.0) was briefly uploaded to the npm registry. This version contained a credential-stealing payload designed to exfiltrate developer credentials and potentially spread to other projects.
■ Scope
- Affected Product: Bitwarden CLI (npm package)
- Affected Version: 2026.4.0
- Exposure Window: April 22, 2026, from 5:57 PM to 7:30 PM ET
■ Required Actions
1. Audit developer environments and CI/CD pipelines to check if @bitwarden/cli version 2026.4.0 was installed.
2. If the malicious version is found, remove the package immediately and reinstall a verified version.
3. Rotate and reset any credentials (API keys, tokens) that may have been exposed on affected systems.
4. Ensure the use of lock files (e.g., package-lock.json) to maintain dependency integrity.
■ Reference
- Bitwarden Official Statement
- Reports by Socket, JFrog, and OX Security
Priority: High (Prompt action is recommended)