Bitwarden CLI 供應鏈攻擊事件調查報告

事件背景與時間軸

2026 年 4 月 23 日，密碼管理軟體開發商 Bitwarden 遭遇一起嚴重的供應鏈攻擊。該公司發布的命令列工具 Bitwarden CLI 遭到入侵，駭客透過 GitHub Actions 發布了惡意 NPM 套件。

根據資安公司 StepSecurity 的調查結果，攻擊者首先滲透了一名 Bitwarden 工程師的 GitHub 帳號。隨後，駭客在儲存庫中建立新分叉（Branch），存放事先建構完成的惡意 Tarball 檔案。

攻擊者利用 OIDC Trusted Publishing 機制，竄改工作流程並置換權限，成功將惡意套件發布至 NPM 註冊表。此事件被視為首度有人濫用 NPM 受信任發布機制的攻擊活動。

惡意套件在被移除之前，精確可用約 1 小時 33 分鐘（約 93 分鐘）。在那段時間內下載了 CLI 的任何人都可能受到影響。攻擊者能夠感染 GitHub 上的命令行介面版本。

目前該漏洞已經被修復，Bitwarden 已針對受影響版本發布了更新。