IT之家 4 月 24 日消息，科技媒体 bleepingcomputer 昨日（4 月 23 日）发布博文，报道称 Bitwarden CLI 的 npm 包遭供应链攻击，恶意版本 2026.4.0 被用于窃取开发者 npm 令牌、SSH 密钥及云凭证等。 IT之家注：供应链攻击是一种针对软件开发流程的网络攻击方式。攻击者通过入侵代码仓库、构建工具或依赖包，在合法软件的分发环节植入恶意代码，从而绕过终端防御，直接感染下游用户或开发者。 本次攻击于美国东部时间 2026 年 4 月 22 日 17 点 57 分（北京时间 23 日 5 点 57 分）开始，持续约 1 个半小时，相关恶意包在美国东部时间 22 日 19 点 30 分删除。 技术分析显示，恶意包通过 bw_setup.js 加载器检测，并利用 Bun Runtime 执行 bw1.js 脚本，该脚本旨在窃取 npm 令牌、GitHub 认证令牌、SSH 密钥及 AWS、Azure 等云服务凭证。 恶意软件还具备自传播功能，能利用窃取的凭证扫描并感染受害者可修改的其他包，扩大攻击范围。窃取的数据经 AES-256-GCM