FEHLER!

Alarm im Open Source: Bitwarden-CLI unter Beschuss durch Supply-Chain-Angriffe

Die jüngsten Ereignisse im Open-Source-Ökosystem demonstrieren eindrucksvoll die wachsende Bedrohung, die durch Supply-Chain-Angriffe entsteht. Ein prominentes Beispiel dafür ist die Kompromittierung der Bitwarden-CLI Version 2026.4.0, die in unmittelbarem Zusammenhang mit einer Kampagne von Checkmarx steht und neue Risiken für Open-Source CI/CD-Systeme sowie KI-Entwicklertools aufgedeckt hat. Forscher verschiedener Sicherheitsinstitutionen wie Socket, Ox Security, JFrog Security und StepSecurity konnten den Angriff zurückverfolgen, wobei die Manipulation eines GitHub Actions Workflows zur Einschleusung bösartigen Codes in ein kompromittiertes npm-Paket im Zentrum steht. Der Angriffsvektor zielte auf den Open-Source-Passwortmanager Bitwarden ab, der von Millionen Nutzern und Unternehmen weltweit verwendet wird. Dieser Vorfall verdeutlicht die wachsenden Sorgen hinsichtlich der Integrität der Lieferketten von Open-Source-Software.

Der JFrog-Forscher Meiter Palas beschreibt detailliert, wie die Angreifer die ursprünglichen Metadaten von Bitwarden beibehielten, während sie das Paket dahingehend modifizierten, dass es einen bösartigen Loader ausführte. Dieser Loader lud im Laufzeitbetrieb eine obfuscierte JavaScript-Payload herunter, deren Ziel die Erfassung von Entwickleranmeldeinformationen, Cloud-Geheimnissen und GitHub Actions-Geheimnissen war. Besonders alarmierend ist die Tatsache, dass diese Malware gezielt KI-Coding-Tools ins Visier nahm, darunter Vertreter wie Claude Code, Cursor, Kiro, Codex CLI und Aider. Durch gestohlene GitHub-Tokens konnten die Angreifer Repositories auflisten, bösartige Workflows einfügen und einen kompromittierten Entwicklerrechner zu einem Sprungbrett für weitere Supply-Chain-Angriffe machen.

Bitwarden selbst bestätigte die Verfügbarkeit des bösartigen Pakets für etwa 90 Minuten, welches mittlerweile zurückgezogen wurde. Laut Bitwarden gibt es keine Hinweise auf eine Kompromittierung von Benutzerdaten oder Produktionsinfrastruktur. Dennoch unterstreichen die Forscher die Verbindung zu den sich entwickelnden Shai-Hulud-Aktivitäten und fordern verstärkte Prüfmechanismen für Pakete über Plattformen wie npm und PyPI, um zukünftige Angriffe abzuwenden und das Open-Source-Ökosystem besser zu schützen.

Schlagwörter: Checkmarx + JFrog + StepSecurity

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 24. April 2026