Am 22.04.2026 wurde von Bitwarden in der Zeit zwischen 17:57 Uhr und 19:30 Uhr Bitwarden CLI 2026.4.0 bereitgestellt. Dieses Paket war infiziert und wurde wieder entfernt. Inzwischen hat man CLI 2026.4.1 bereitgestellt und eine Anleitung gegeben, wie man die 4.0 entfernen kann.
„Die Untersuchung ergab keine Hinweise darauf, dass auf Vault-Daten von Endnutzern zugegriffen wurde oder diese gefährdet waren, oder dass Produktionsdaten oder Produktionssysteme kompromittiert wurden. Sobald das Problem erkannt wurde, wurde der kompromittierte Zugriff widerrufen, die bösartige npm-Version wurde außer Kraft gesetzt und es wurden umgehend Abhilfemaßnahmen eingeleitet.“
Benutzer, die das Paket während dieses Zeitfensters nicht von npm heruntergeladen haben, waren nicht betroffen.
Falls man doch dazugehören sollte:
- Deinstallation von Bitwarden CLI 2026.4.0 über npm
- Deinstallation:
npm uninstall -g @bitwarden/cli - npm-Cache leeren
npm cache clean --force - Deaktivierung der npm-Installationsskripte
npm config set ignore-scripts true - Manuelle Installation von Bitwarden CLI 2026.4.1 Diese Version entspricht der Version 2026.3.0.
„Ersetzen Sie alle Secrets, die auf dem betroffenen System offengelegt oder in Umgebungsvariablen gespeichert wurden, einschließlich API-Token und SSH-Schlüsseln (Beispiele finden Sie hier & hier)“
Als Hinweis: Bei uns im Bitwarden-Beitrag war die Version 4.0 nicht vorhanden.
@moinmoin Moin
Sollte es im zweiten Satz identifiziert oder infiziert heissen?
Und was ist mit „üner“ gemeint?