De CLI-versie van wachtwoordmanager Bitwarden is getroffen door een supplychain-aanval waarbij aanvallers gebruikmaakten van een gecompromitteerde GitHub Action, zo meldt securitybedrijf Socket. De opensource wachtwoordmanager telt meer dan tien miljoen gebruikers en wordt door meer dan 50.000 bedrijven gebruikt. Voor zover bekend is alleen de via npm aangeboden commandlineversie ("CLI") van de wachtwoordmanager door de aanval getroffen.

De aanval op Bitwarden CLI lijkt gebruik te hebben gemaakt van een gecompromitteerde GitHub Action in de CI/CD-pipeline van de wachtwoordmanager. Hierna is een gebackdoorde package (2026.4.0) van Bitwarden CLI gepubliceerd. Deze package bevat malafide code opgenomen in bw1.js. Dit bestand heeft veel overeenkomsten met het mcpAddon.js bestand, dat wordt gebruikt in de Checkmarx Supply Chain aanval.

De malafide code in bw1.js verzamelt allerlei inloggegevens, waaronder GitHub-tokens, AWS-credentials, Azure-tokens, GCP-credentials, npm-configuratiebestanden, SSH-keys, environment variabelen en configuratiebestanden van onder andere Claude. De gestolen data wordt vervolgens naar een externe server van de aanvallers gestuurd.

Socket adviseert getroffen organisaties om zo snel mogelijk het gebackdoorde package te verwijderen van developer, productie en build-systemen. Tevens wordt aangeraden om alle credentials en secrets die mogelijk aanwezig waren op deze systemen, zo snel mogelijk te roteren.