2026年4月23日、午前5時57分から午前7時30分(UTC+8)の間に、Bitwarden CLIバージョン2026.4.0向けの悪意のあるパッケージがnpmを通じて配布されました。Bitwardenのセキュリティチームは、この問題をCheckmarxのサプライチェーン攻撃の一環として特定しました。この期間中に影響を受けたバージョンをインストールしたユーザーには、アンインストール、npmキャッシュのクリア、APIトークンとSSHキーのローテーション、GitHubおよびCIシステムでの異常な活動の確認を推奨しています。チームは、ボールトデータは安全であり、本番システムへの侵害はなかったことを確認しました。ユーザーは直ちにバージョン2026.4.1にアップグレードする必要があります。