NERDMANHacker vergiften Bitwardens Passwort-Tool auf NPM
Wer dem eigenen Passwortmanager nicht mehr trauen kann, hat ein Problem. Genau das ist passiert: Angreifer haben Schadcode direkt in das offizielle NPM-Paket von Bitwardens CLI geschleust.
Was passiert ist
Das NPM-Paket `@bitwarden/cli` wurde kompromittiert. Nicht durch einen Hack der Bitwarden-Server — sondern über die Lieferkette. Angreifer schleusten manipulierten Code ein, bevor er bei den Nutzern landete.
Das Perfide: Entwickler, die das Paket installiert haben, holten sich den Schadcode freiwillig auf ihre Rechner. Ohne es zu merken.
Was das bedeutet
Supply-Chain-Angriffe sind die gefährlichste Angriffsform im Software-Ökosystem. Du greifst nicht das Ziel an — du vergiftest das Werkzeug, dem das Ziel vertraut. Ein kompromittierter Passwortmanager ist dabei der Jackpot: Hier liegen alle Schlüssel.
Warum Supply-Chain so gefährlich ist
- Vertrauen wird zur Waffe:** NPM-Pakete werden blind installiert — `npm install` fragt nicht nach
- Reichweite:** Ein Paket, tausende Opfer. Automatisch, ohne Phishing
- Tarnung:** Der Code kommt aus einer "offiziellen" Quelle
- Teil einer größeren Kampagne:** Der Bitwarden-Angriff ist kein Einzelfall — dahinter steckt eine koordinierte Aktion
📅 Timeline
- 2021:** Kaseya-Hack zeigt erstmals die volle Wucht von Supply-Chain-Angriffen
- 2024:** XZ-Utils-Backdoor erschüttert die Open-Source-Welt
- 2025:** Angriffe auf PyPI und NPM häufen sich massiv
- 2026:** Bitwarden-CLI auf NPM kompromittiert — Passwörter im Visier
Der blinde Fleck
Die JavaScript-Welt hat ein strukturelles Problem. NPM-Pakete haben hunderte Abhängigkeiten. Jede einzelne ist ein potenzielles Einfallstor. Kaum jemand prüft, was bei `npm install` wirklich auf der Platte landet.
Bitwarden selbst ist ein seriöser Anbieter. Aber genau das macht den Angriff so effektiv — niemand hinterfragt ein Paket mit dem Namen einer vertrauenswürdigen Marke.
