Changeflow GovPing Data Privacy & Cybersecurity Bitwarden CLI Supply Chain Attack: Malicious Ve...
Priority review Notice Added Final

Bitwarden CLI Supply Chain Attack: Malicious Version 2026.4.0 Steals Credentials via npm

Favicon for www.acn.gov.it Italy ACN News alt
Detected
Email

Summary

ACN's CSIRT-ITA issued a bulletin reporting a supply chain compromise of Bitwarden CLI version 2026.4.0, published on npm on April 22, 2026 and subsequently removed. The malicious package contained embedded code designed to activate during CLI installation or execution, exfiltrating credentials and secrets including GitHub and npm tokens, SSH keys, and cloud credentials. The attack specifically targets development environments and CI/CD pipelines. Affected users who installed the compromised version should treat their environments as potentially compromised and follow prescribed mitigation steps.

Why this matters

Organizations with Bitwarden CLI in their development pipelines or CI/CD workflows should treat any installation of version 2026.4.0 during the exposure window as a confirmed compromise. Security teams should review access logs for GitHub, cloud providers, and npm registries for signs of unauthorized use since April 22, 2026, and consider implementing package integrity verification mechanisms such as checksum validation or private package registries with vetted sources.

AI-drafted from the source document, validated against GovPing's analyst note standards . For the primary regulatory language, read the source document .
Published by ACN on acn.gov.it . Detected, standardized, and enriched by GovPing. Review our methodology and editorial standards .

About this source

GovPing monitors Italy ACN News alt for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 10 changes logged to date.

View original document View source feed page

What changed

ACN's CSIRT-ITA bulletin reports a supply chain compromise targeting Bitwarden CLI version 2026.4.0 distributed through the npm registry. The malicious version, published April 22, 2026 and subsequently deprecated, contained code designed to exfiltrate credentials and secrets upon installation or execution, specifically targeting GitHub tokens, npm tokens, SSH keys, and cloud service credentials.

Affected parties include developers and organizations using Bitwarden CLI in development and CI/CD environments who installed version 2026.4.0. These users should immediately uninstall the compromised version, clear npm cache, disable npm script execution during remediation activities, rotate all potentially exposed credentials, audit GitHub repositories and CI/CD workflows for unauthorized activity, and reinstall version 2026.4.1 from npm.

What to do next

  1. Uninstall the compromised package: npm uninstall -g @bitwarden/cli
  2. Clean npm cache: npm cache clean --force
  3. Rotate all potentially exposed credentials including API tokens, SSH keys, and development environment tokens
  4. Examine GitHub repositories and CI/CD workflows for unauthorized access or anomalous modifications

Archived snapshot

Apr 25, 2026

GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.

Bitwarden CLI: rilevata distribuzione di versione malevola tramite attacco alla Supply Chain

**
Bollettino**

BL01/260424/CSIRT-ITA

Condividi
- Facebook
- Twitter
- LinkedIn
- Whatsapp

Sintesi

Proseguono le campagne di compromissione che interessano le supply chain, prendendo di mira in questo contesto il componente Bitwarden CLI. L’obiettivo dell’attacco consiste nella distribuzione di una versione malevola del pacchetto attraverso i canali ufficiali di distribuzione e nella conseguente esfiltrazione di credenziali dai sistemi interessati. L’incidente si inserisce nel contesto delle recenti compromissione delle supply chain inerenti ai progetti Trivy, Checkmarx e LiteLLM, come riportato nel Bollettino BL01/260327/CSIRT-ITA.

Tipologia

  • Remote Code Execution
  • Information Disclosure
  • Tampering

Descrizione e potenziali impatti

Nel dettaglio, il 22 aprile 2026 risulterebbe essere stata pubblicata sul registro npm una versione malevola del pacchetto @bitwarden/cli (2026.4.0) – successivamente deprecata e rimossa – contenente del codice malevolo integrato nel pacchetto di distribuzione. Tale codice risulterebbe essere stato progettato per attivarsi automaticamente in fase di installazione/esecuzione del CLI, consentendo l’esfiltrazione di credenziali e segreti (tra cui token GitHub e npm, chiavi SSH e credenziali cloud) dai sistemi interessati.

Le funzionalità malevole risultano particolarmente rilevanti in ambienti di sviluppo e pipeline CI/CD, dove il componente è comunemente utilizzato. Sebbene la versione compromessa sia stata rapidamente messa in quarantena, gli utenti che l’abbiano inavvertitamente installata dovrebbero considerare i propri ambienti come potenzialmente compromessi e procedere con le opportune attività di mitigazione.

Prodotti e versioni affette

Bitwarden CLI, versione 2026.4.0

Azioni di mitigazione

Secondo quanto dichiarato dal vendor, risultano impattati esclusivamente gli utenti che hanno installato Bitwarden CLI versione 2026.4.0 tramite npm durante la finestra temporale di esposizione. Qualora ricadenti in tale casistica, si raccomanda di implementare le misure di mitigazione riportate di seguito e nei bollettini disponibili nella sezione Riferimenti.

Disinstallare immediatamente la versione compromessa

  • procedere alla rimozione della versione malevola del pacchetto: npm uninstall -g @bitwarden/cli
    Pulire la cache di npm

  • eliminare eventuali artefatti residui: npm cache clean --force
    Disabilitare temporaneamente l’esecuzione degli script npm

  • come misura precauzionale durante le attività di bonifica: npm config set ignore-scripts true
    Verificare gli indicatori e le procedure di cleanup

  • si raccomanda di valutare la verifica e l’implementazione degli IoC [1] forniti dai ricercatori di sicurezza tramite i bollettini riportati nella sezione Riferimenti.
    Ruotare tutte le credenziali potenzialmente esposte

procedere alla rotazione immediata dei segreti di:

  • token API
  • chiavi SSH
  • credenziali e token utilizzati in ambienti di sviluppo e automazione Verificare attività e configurazioni su GitHub e CI/CD

esaminare eventuali accessi non autorizzati o modifiche anomale a:

  • repository GitHub
  • workflow CI/CD

  • credenziali e token associati
    Installare una versione aggiornata e sicura

  • completate le attività di mitigazione, installare la versione corretta del componente: npm install -g @bitwarden/cli@2026.4.1
    [1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l'attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Riferimenti (2)

  1. https://community.bitwarden.com/t/bitwarden-statement-on-checkmarx-supply-chain-incident/96127
  2. https://research.jfrog.com/post/bitwarden-cli-hijack/

Change log

Versione Note Data
1.0 Pubblicato il 24-04-2026 24/04/2026

Criticità

Alto (70.0)

Argomenti

Data pubblicazione

24/04/26 ore 16:07

Data Ultimo Aggiornamento

24/04/26 ore 16:11

Correlati

Bollettino - 27/03/26 18:03

Attacco Multistadio alla Supply Chain CI/CD e Iniezione di Codice Malevolo

È in corso un'estesa campagna di compromissione della supply chain software di Aqua Security perpetrata dal gruppo criminale TeamPCP. L'attacco portato alla compromissione di strumenti di sicurezza e infrastrutture di sviluppo distribuiti a livello globale, inclusi Aqua Trivy, Checkmarx KICS e BerriAI LiteLLM. L'obiettivo dell'attacco consiste nell’esfiltrazione su larga scala di credenziali cloud, chiavi SSH e token di accesso direttamente dagli ambienti di CI/CD.

Alert - 10/04/26 16:50

Compromissione della supply chain di CPUID.com: coinvolti CPU-Z, HWMonitor e PerfMonitor 2

Questo CSIRT ha recentemente rilevato una presunta compromissione dell’infrastruttura di distribuzione del portale CPUID.com, noto produttore di software ampiamente utilizzati in ambiente Windows per attività di diagnostica, monitoraggio e benchmark hardware.

Bollettino - 17/09/25 13:36

Supply Chain Attack: proseguono le campagne di compromissione pacchetti NPM

Proseguono le campagne di compromissione di pacchetti NPM largamente diffusi, al fine di distribuire codice malevolo. Ricercatori di sicurezza hanno rilevato la compromissione di numerosi pacchetti NPM Crowdstrike e affermano che tali attacchi sembrano essere una prosecuzione della campagna malevola denominata “Shai-Halud”, già nota in precedenti compromissioni ai danni di Tinycolor, libreria JavaScript leggera e potente per la manipolazione dei colori.

Alert - 30/03/26 14:59

Telnyx Python SDK: rilevate versioni malevole su PyPI

Il gruppo TeamPCP prosegue la propria campagna di compromissione, prendendo di mira la libreria Python Telnyx. L'obiettivo dell'attacco consiste nel distribuire payload nascosti in file WAV tramite tecniche di steganografia e nell’esfiltrazione di credenziali. Questo incidente rientra in una più ampia campagna di supply chain che ha già colpito Trivy, Checkmarx e LiteLLM come riportato nel Bollettino BL01/260327/CSIRT-ITA.

Bollettino - 01/10/25 11:22

Supply Chain Attack: pacchetto NPM esfiltra e-mail degli utenti

Proseguono le campagne di compromissione di pacchetti NPM largamente diffusi, al fine di distribuire codice malevolo. Ricercatori di sicurezza hanno rilevato la compromissione del pacchetto postmark-mcp, utilizzato per consentire agli assistenti di intelligenza artificiale (AI) di interagire con i servizi Postmark per gestire l’invio e la ricezione di e-mail in maniera automatizzata.

Bollettino - 09/09/25 18:31

Supply Chain Attack: rilevata compromissione di pacchetti NPM

È stata recentemente rilevata la compromissione di numerosi pacchetti NPM largamente diffusi al fine di distribuire codice malevolo, a seguito dell’accesso non autorizzato all’account di un noto manutentore vittima di phishing.

Parties

Bitwarden

Related changes

Favicon for www.csirt.gov.it Bitwarden CLI Supply Chain Attack: Malicious Version 2026.4.0 Exfiltrates Credentials
Priority review Apr 24, 2026 Italy CSIRT Advisories Data Privacy & Cybersecurity
Favicon for www.acn.gov.it Grafana Tempo High-Severity Vulnerability Fixed CVE-2026-21728
Priority review Apr 25, 2026 Italy ACN News alt Data Privacy & Cybersecurity
Favicon for www.acn.gov.it 6,192 CVEs Discovered, 7 Actively Exploited in March 2026
Priority review Apr 24, 2026 Italy ACN News alt Data Privacy & Cybersecurity

Get daily alerts for Italy ACN News alt

Daily digest delivered to your inbox.

Free. Unsubscribe anytime.

Source

Favicon for www.acn.gov.it
Italy ACN News alt acn.gov.it/portale/feedrss/-/journal/rss/20119/723192
Data Privacy & Cybersecurity

About this page

What is GovPing?

Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission

What's from the agency?

Source document text, dates, docket IDs, and authority are extracted directly from ACN.

What's AI-generated?

The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.

Last updated

Press inquiries →

Classification

Agency
ACN
Instrument
Notice
Branch
Executive
Source language
it
Legal weight
Non-binding
Stage
Final
Change scope
Substantive
Docket
BL01/260424/CSIRT-ITA

Who this affects

Applies to
Technology companies Software developers Organizations with CI/CD pipelines
Industry sector
5112 Software & Technology
Activity scope
Supply chain compromise response Credential rotation CI/CD security audit
Threshold
Bitwarden CLI version 2026.4.0 installed via npm during the exposure window
Geographic scope
IT IT

Taxonomy

Primary area
Cybersecurity
Operational domain
IT Security
Compliance frameworks
NIST CSF
Topics
Supply Chain Security Software Security

Browse Categories

Agriculture & Food Safety 84 AI Regulation 3 Banking & Finance 501 Consumer Protection 141 Courts & Legal 635 Data Privacy & Cybersecurity 151 Defense & National Security 52 Education 64 Energy 138 Environment 171 Gaming 2 Government & Legislation 523 Healthcare 15 Healthcare & Life Sciences 402 Immigration 11 Insurance 90 Labor & Employment 195 Pharma & Drug Safety 21 Professional Licensing 6 Real Estate & Housing 76 Securities & Markets 175 Tax 117 Telecom & Technology 57 Trade & Sanctions 169 Transportation 131

Get alerts for this source

We'll email you when Italy ACN News alt publishes new changes.

Free. Unsubscribe anytime.

You're subscribed!