TechFlow(深潮)の報道によると、4月24日、SlowMistのCISOである23pds氏(@im23pds)は、パスワード管理ツール「Bitwarden CLI」のバージョン2026.4.0が、米国東部時間4月22日17時57分から19時30分までの間、Checkmarx社によるサプライチェーン攻撃の被害に遭ったと明らかにしました。攻撃者は、BitwardenのCI/CDパイプライン内で使用されるGitHub Actionsを悪用し、npm経由で一時的に悪意あるパッケージを配布しました。公式発表では、Vault内のデータは漏洩しておらず、本番システムにも影響は及んでいないとのことです。ただし、当該時間帯にnpmからこのバージョン(2026.4.0)をインストールしたユーザーのみが影響を受けました。公式では、該当ユーザーに対し、直ちにバージョン2026.4.0をアンインストールし、npmキャッシュをクリアし、APIトークンおよびSSHキーなどの機密認証情報のローテーションを実施し、GitHubおよびCIにおける異常活動を調査し、修正済みバージョン2026.4.1へアップグレードするよう推奨しています。
お気に入りに追加
SNSで共有
