Bitwarden gehackt: Diese Version klaut deine Zugangsdaten – sofort handeln!

Bitwarden getroffen: Supply-Chain-Angriff trifft Entwickler direkt

Ein neuer Angriff auf die Software-Lieferkette sorgt für Unruhe: Angreifer haben eine manipulierte Version des Bitwarden CLI-Tools über das npm-Repository verbreitet. Betroffen ist nicht der klassische Nutzer – sondern gezielt Entwickler und Admins.

Die kompromittierte Version 2026.4.0 war nur für ein kurzes Zeitfenster verfügbar, hatte es aber in sich: Wer sie installiert hat, muss davon ausgehen, dass sein System vollständig kompromittiert wurde.

Was genau passiert ist

Die Angreifer nutzten offenbar ein kompromittiertes GitHub-Konto eines Bitwarden-Entwicklers. Darüber wurde eine manipulierte Build-Pipeline erstellt, die ein vorbereitetes Schadpaket direkt in das npm-Repository veröffentlicht hat.

• Manipulierte CI/CD-Workflows
• Missbrauch von GitHub Actions Tokens
• Direkter Upload eines präparierten Pakets

Besonders perfide: Alle Spuren wie Branches, Releases und Logs wurden nachträglich gelöscht.

Was die Malware macht

Die Schadsoftware ist darauf ausgelegt, möglichst viele sensible Daten abzugreifen. Dazu gehören:

• SSH-Keys und API-Tokens
• AWS- und Google-Cloud-Zugangsdaten
• Umgebungsvariablen (ENV)
• Credentials aus CI/CD-Systemen
• NEU: Daten aus KI-Tools wie Claude Code oder Codex CLI

Gerade der Zugriff auf KI-Tools ist eine neue Dimension – hier könnten künftig komplette Entwicklungsprozesse ausspioniert werden.

Wie viele sind betroffen?

Nach aktuellen Erkenntnissen haben etwa 334 Entwickler die kompromittierte Version installiert. Das klingt wenig – ist aber kritisch, denn jeder einzelne kann als Ausgangspunkt für weitere Angriffe dienen.

Was du jetzt tun solltest

Wenn du Bitwarden CLI im betroffenen Zeitraum installiert hast, gilt:

• Sofort deinstallieren
• System als kompromittiert behandeln
• ALLE Zugangsdaten rotieren
• CI/CD-Pipelines prüfen
• GitHub-Workflows kontrollieren

Ein einfacher Fix reicht hier nicht – es geht um vollständige Schadensbegrenzung.

Warum das ein größerer Trend ist

Der Bitwarden-Vorfall ist bereits der dritte Supply-Chain-Angriff innerhalb weniger Tage. Ähnliche Fälle gab es zuletzt bei Entwickler-Tools und npm-Paketen.

Das Problem: Entwickler vertrauen ihren Tools – und genau dort setzen Angreifer an.

Was langfristig helfen kann

Sicherheitsforscher empfehlen klare Maßnahmen:

• Verzögerte Paketinstallation (z. B. 7 Tage)
• Minimalrechte für Tokens
• Strengere CI/CD-Kontrollen
• Monitoring von Repository-Änderungen

Die Realität: 100% Schutz gibt es nicht – aber die Angriffsfläche lässt sich deutlich reduzieren.

Einordnung

Für normale Bitwarden-Nutzer gibt es Entwarnung: Die Vault-Daten sind laut Unternehmen nicht betroffen.

Für Entwickler dagegen ist der Vorfall ein Weckruf. Die Angriffe werden gezielter, technischer – und greifen immer häufiger die Infrastruktur hinter den eigentlichen Produkten an.

Entscheidungshilfe:
Wenn du mit npm, CI/CD oder Cloud-Zugängen arbeitest, solltest du deine Sicherheitsstrategie dringend überprüfen. Nicht nur Tools sichern – sondern die gesamte Lieferkette.