Bitwarden CLI 遭供应链攻击，开发者凭证安全拉响警报

近日，知名开源密码管理器Bitwarden的命令行工具（CLI）遭遇了一次严重的供应链攻击。攻击者成功侵入其CI/CD流程，在4月22日发布了包含恶意代码的@bitwarden/cli 2026.4.0版本。该恶意版本在被发现并移除前，仅在npm官方仓库存在了约93分钟。

此次攻击影响巨大，因其目标直指开发者的敏感凭证。恶意代码旨在窃取用户本地计算机上的各类访问令牌（如GitHub, npm）、SSH密钥以及云服务API密钥等关键信息，并将其发送到攻击者控制的服务器。这起事件不仅暴露了单一开发者的隐私，更对整个软件供应链的信任基础构成了威胁，凸显了保护开发者凭据和强化CI/CD安全的重要性。