_Bitwardenからの追加情報で更新されました。 Bitwarden CLIは、攻撃者が認証情報を窃取するペイロードを含む悪意のある`@bitwarden/cli`パッケージをnpmにアップロードした後、短時間侵害されました。このペイロードは他のプロジェクトにも拡散する可能性がありました。 Socket、JFrog、OX Securityの報告によると、悪意のあるパッケージはバージョン2026.4.0として配布され、2026年4月22日の午後5時57分から午後7時30分（ET）まで利用可能でしたが、その後削除されました。 Bitwardenはこのインシデントを確認し、侵害はCLI npmパッケージのnpm配信チャネルのみに影響し、悪意のあるバージョンをダウンロードしたユーザーのみが対象であると述べています。 「調査の結果、エンドユーザーのボルトデータがアクセスされたり、リスクにさらされたりした証拠、または本番データや本番システムが侵害された証拠は見つかりませんでした。問題が検出されると、侵害されたアクセスは取り消され、悪意のあるnpmリリースは非推奨となり、是正措置が直ちに開始されました」とBitwardenは声明で述べています。 「この問題は、限定的な期間におけるCLIのnpm配信メカニズムに影響を与えたものであり、正規のBitwarden CLIコードベースや保存されたボルトデータの整合性には影響していません。」 Bitwardenは、侵害されたアクセスを取り消し、影響を受けたCLI npmリリースを非推奨にしたと述べています。 ## Bitwardenのサプライチェーン攻撃 Socketによると、攻撃者はBitwardenのCI/CDパイプラインにおける侵害されたGitHub Actionを使用して、CLI npmパッケージに悪意のあるコードを注入したようです。 JFrogによると、パッケージは`preinstall`スクリプトとCLIのエントリポイントがカスタムローダー`bw_setup.js`を使用するように変更されており、これはBunランタイムをチェックし、存在しない場合はダウンロードします。 その後、ローダーはBunランタイムを使用して、認証情報窃取型マルウェアとして機能する難読化されたJavaScriptファイル`bw1.js`を起動します。  実行されると、マルウェアはnpmトークン、GitHub認証トークン、SSHキー、およびAWS、Azure、Google Cloudのクラウド認証情報を含む、感染システムから広範囲のシークレットを収集します。 マルウェアは収集したデータをAES-256-GCMを使用して暗号化し、被害者のアカウントの下に公開GitHubリポジトリを作成してそこへ保存することで、データを外部に送信します。 OX Securityによると、これらの作成されたリポジトリには、「Shai-Hulud: The Third Coming」という文字列が含まれており、これは以前のnpmサプライチェーン攻撃で、データを外部に送信する際に同様の方法とテキスト文字列を使用したことへの言及です。  マルウェアは自己伝播機能も備えており、OX Securityは、盗まれたnpm認証情報を使用して、被害者が変更できるパッケージを特定し、悪意のあるコードを注入できると報告しています。 Socketも、ペイロードがCI/CD環境を標的とし、攻撃を拡大するために再利用できるシークレットを収集しようとしていることを観察しました。 この攻撃は、CheckmarxがKICS Dockerイメージ、GitHub Actions、および開発者拡張機能に影響を与える別のサプライチェーンインシデントを開示した後に行われました。 攻撃者がどのようにアクセスを獲得したかは正確には不明ですが、BitwardenはBleepingComputerに対し、このインシデントはCheckmarxのサプライチェーン攻撃に関連しており、Checkmarx関連の開発ツールが侵害されたことで、限定的な期間、CLIのnpm配信パスが悪用されたと述べています。 SocketはBleepingComputerに対し、Checkmarxの侵害と今回の攻撃の間には、指標の重複があることを示唆しました。 「接続はマルウェアとインフラストラクチャのレベルにあります。Bitwardenの場合、悪意のあるペイロードは、Checkmarxインシデントで出現したのと同じ`audit.checkmarx[.]cx/v1/telemetry`エンドポイントを使用しています。また、シード`0x3039`を持つ同じ`__decodeScrambled`難読化ルーチンを使用しており、認証情報窃取、GitHubベースの外部送信、サプライチェーン伝播行動の同じ一般的なパターンを示しています」とSocketはBleepingComputerに語りました。 「その重複は表面的な類似性を超えています。Bitwardenのペイロードには、以前のマルウェアで見られたのと同じ種類の埋め込みgzip+base64コンポーネントが含まれており、認証情報収集と下流での悪用ツールも含まれています。」 両方のキャンペーンは、以前にTrivyとLiteLLMの大規模なサプライチェーン攻撃で開発者パッケージを標的としたTeamPCPとして知られる脅威アクターに関連付けられています。 影響を受けたバージョンをインストールした開発者は、システムと認証情報を侵害されたものとみなし、特にCI/CDパイプライン、クラウドストレージ、開発者環境に使用されるすべての公開された認証情報をローテーションする必要があります。 _更新 4/23/26: Bitwardenからの情報で、インシデントがCheckmarxサプライチェーン攻撃に関連していることを確認し、ストーリーを更新しました。_