Bitwarden se Pronuncia sobre Incidente na Cadeia de Suprimentos da Checkmarx

Um pacote npm malicioso, o @bitwarden/cli@2026.4.0, foi baixado por 334 usuários entre 17h57 e 19h30 ET de 22 de abril. Este incidente foi contido em 93 minutos após o comprometimento mais amplo da cadeia de suprimentos da Checkmarx. A propagação ocorreu através de uma extensão maliciosa da Checkmarx para VSCode na estação de trabalho de um engenheiro da Bitwarden, e não por uma dependência de CI/CD.

O script de pré-instalação do pacote ativou o roubo de credenciais apenas durante a instalação, subtraindo tokens, chaves SSH e segredos de ambiente. No entanto, análises confirmaram que os dados do vault não foram comprometidos. Em resposta, a Bitwarden emitiu um CVE, depreciou o pacote afetado, lançou a versão 2026.4.1 e orientou os usuários impactados a rotacionar segredos expostos, auditar fluxos de trabalho do GitHub e credenciais de CI, além de limpar caches npm com scripts de instalação desabilitados durante a remediação.