币界网消息，Bitwarden的命令行工具（CLI）2026.4.0版本遭到供应链攻击，攻击者通过入侵Bitwarden CI/CD流水线中的GitHub Action，向npm发布了含恶意文件bw1.js的版本。该包月下载量超过25万，受影响窗口约93分钟（4月22日ET 17:57至19:30）。恶意代码窃取宿主机上的GitHub/npm token、`.ssh`目录、`.env`文件等敏感信息，并上传至公开的GitHub仓库。安全研究员Adnan Khan指出，这是首个通过npm可信发布机制被入侵的包，属于Checkmarx供应链攻击活动的一部分。Bitwarden确认用户密码库数据未被访问，恶意版本已从npm下架，建议受影响用户降级至2026.3.0版本并轮换所有可能暴露的密钥。