パスワードマネージャーのBitwardenがサプライチェーン攻撃を受ける、npmパッケージを使っていた人は要確認

オープンソースソフトウェアのセキュリティ専門のSocket社が、パスワードマネージャーのBitwardenがサプライチェーン攻撃を受けたことを発表しました。

Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain ...
https://socket.dev/blog/bitwarden-cli-compromised

Bitwardenはオープンソースのパスワードマネージャーで、1000万人以上のユーザーと5万社以上の企業に利用されており、企業での導入率は上位3位に入るほどのシェアがあります。

Socket社の研究チームによると、Bitwardenに設定されているCI/CDパイプラインにおいて、GitHub Actionsを通して悪意あるコードが侵入したとのこと。影響を受けたパッケージのバージョンは「@bitwarden/cli2026.4.0」で、すでにパッケージ管理ツールのnpmは当該パッケージの配信を停止しています。

今回影響を受けたのはBitwardenをコマンドラインから実行するツール「Bitwarden CLI」とのこと。記事作成時点で、BitwardenのChrome拡張機能やMCPサーバー、デスクトップアプリ、ウェブアプリなどへの影響はないとされています。

研究チームはBitwarden CLIの使用者に対し、「CIログを確認すること」「シークレットを変更すること」「GitHubで不正なリポジトリが作成されていないかの確認」「不審なGitHubワークフローの有無の確認」「npmの監査」を推奨しました。

さらに、長期的にサプライチェーン攻撃の影響を抑えるための対策として、「トークンのスコープを厳重に管理すること」「可能な限り認証情報の有効期限を短縮すること」「パッケージの作成や公開ができるユーザーを制限すること」「通常のリリースプロセス以外で作成された新たな公開リポジトリやワークフローの変更を監視すること」などを推奨しています。

研究チームの分析では、今回Bitwardenに仕掛けられた攻撃は以前Checkmarxに仕掛けられたサプライチェーン攻撃と類似した構成となっており、「ロシア語環境では動作しないようになっている」などの特徴が共通しているとのこと。ただし、動作が異なるため、同じインフラストラクチャを共有する別の主体もしくは分派グループなどによる犯行が疑われるとしています。