密码管理器 Bitwarden 本体没有问题,命令行工具 @bitwarden/[email protected] 版本中招。如果你和你的 AI 不曾使用 CLI,就可以不管它。@Appinn
发生了什么?
来自 socket.dev 的消息:攻击者入侵了 Bitwarden 的发布流程(CI/CD),把一个“被改过的 CLI 版本(@bitwarden/[email protected])”发到 npm,这个版本里加了一段恶意代码,可以在安装时自动执行。
会泄漏什么?
这个恶意代码还比较严重,他会在你的电脑里搜索:
- 各种 token(GitHub / npm)
- SSH 私钥
.env文件- 云服务凭证(AWS / GCP 等)
- shell 历史记录
- AI 工具配置(Claude / Cursor 等)
然后,将这些信息用 AES-256 加密、压缩,发出去。
密码安全吗?
Bitwarden 官方确认没有访问到用户的 Vault 密码库,也没入侵 Bitwarden 的后端服务。
原文:https://www.appinn.com/bitwarden-cli-npm-supply-chain-attack-2026/
