Bitwarden CLI durch Supply-Chain-Angriff kompromittiert

4.0 eingeschleust. Die Angreifer nutzten eine kompromittierte GitHub Action in der CI/CD-Pipeline des Passwort-Manager-Anbieters aus.

Das bösartige Skript „bw1.js“ war darauf programmiert, sensible Daten von betroffenen Nutzern zu stehlen. Dazu gehörten GitHub- und npm-Tokens, SSH-Schlüssel, Cloud-Zugangsdaten sowie .env-Dateien mit Geheimnissen für Webanwendungen. Auch Krypto-Wallet-Schlüssel standen im Visier der Angreifer.

Angesichts immer raffinierterer Angriffe auf Zugangsdaten und persönliche Daten ist ein umfassender Basisschutz für mobile Geräte unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Smartphone wirksam gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen jetzt kostenlos entdecken

Die gestohlenen Informationen wurden an eine externe Domäne gesendet, die den Namen des Sicherheitsunternehmens Checkmarx imitierte. Experten ordnen den Angriff der Kampagne „TeamPCP“ zu.

Schnelle Reaktion von Bitwarden

Der Vorfall ereignete sich am späten Abend des 22. April und dauerte insgesamt 93 Minuten. Bitwarden reagierte umgehend und veröffentlichte die Version 2026.4.1, die den Schadcode entfernt.

Nach Unternehmensangaben waren die zentralen Passwort-Tresore der Nutzer zu keinem Zeitpunkt betroffen. Der Angriff zielte spezifisch auf die Entwicklungsumgebungen der CLI-Nutzer ab. Etwa 334 Downloads der infizierten Version wurden registriert.

Betroffenen wird empfohlen, die kompromittierte Version zu deinstallieren, lokale Caches zu leeren und alle potenziell exponierten Zugangsdaten auszutauschen.

Apple schließt kritische Sicherheitslücke

Parallel dazu hat Apple am 23. und 24. April außerplanmäßige Updates für iOS und iPadOS bereitgestellt. Die Versionen 26.4.2 sowie 18.7.8 für ältere Geräte schließen die Schwachstelle CVE-2026-28950.

Der Fehler im Notification Services Framework führte dazu, dass Nachrichten-Vorschauen in einer systeminternen Datenbank gespeichert blieben – selbst nachdem die ursprüngliche Nachricht oder die dazugehörige App gelöscht worden war.

Besondere Brisanz: Das FBI hatte diese Lücke aktiv genutzt, um an Kommunikation aus dem verschlüsselten Messenger Signal zu gelangen. Die Ende-zu-Ende-Verschlüsselung von Signal selbst blieb zwar intakt, doch die fehlerhafte Benachrichtigungsverwaltung von iOS ermöglichte den Zugriff über den System-Cache.

Das Update unterbindet nicht nur die zukünftige Speicherung, sondern löscht auch bereits vorhandene Benachrichtigungsdaten rückwirkend. Die Schwachstelle betraf das iPhone 11 und neuere Modelle.

Hardware-Risiken und neue Malware-Wellen

Doch nicht nur Software bereitet Sicherheitsexperten Kopfzerbrechen. Auf der Black Hat Asia 2026 präsentierten Forscher von Kaspersky Lab Details zu einer Schwachstelle in Qualcomm Snapdragon-Chipsätzen.

Die als CVE-2026-25262 klassifizierte Lücke im BootROM betrifft die Serien MDM9x07 und MSM8907. Angreifer mit physischem Zugriff können über den Emergency Download Mode die Sicherheitskette beim Systemstart kompromittieren. Das erlaubt das Auslesen sensibler Daten sowie den Zugriff auf Mikrofon und Kamera.

Eine vollständige Bereinigung eines infizierten Chips ist nur durch eine komplette Unterbrechung der Stromversorgung möglich. Qualcomm war bereits im Frühjahr 2025 über die Problematik informiert worden.

Gleichzeitig warnten Sicherheitsunternehmen vor einer neuen Android-Malware-Welle. McAfee identifizierte die Schadsoftware „NoVoice“, die in rund 50 Apps im Google Play Store versteckt war. Über 2,3 Millionen Downloads wurden registriert. Die Malware verschafft sich Root-Zugriff und stiehlt Daten von WhatsApp und Banking-Apps.

Zimperium meldete zudem vier neue Banking-Trojaner, darunter „RecruitRat“ und „Massiv“. In Brasilien wurde eine Variante der „NGate“-Malware entdeckt, die NFC-Daten von Zahlungskarten abfängt.

Der Trend zur Passkey-Authentifizierung

Die Häufung von Angriffen auf Zugangsdaten verstärkt den Druck auf Unternehmen, herkömmliche Sicherheitsmechanismen zu überdenken. Auf der Konferenz CYBERUK 2026 empfahl das britische National Cyber Security Centre den verstärkten Umstieg von Passwörtern auf Passkeys.

Die Technologie basiert auf Public-Key-Kryptographie und gilt als weitgehend resistent gegen Phishing und Brute-Force-Methoden. Branchenexperten betonen, dass Passkeys eine sicherere Alternative zur Zwei-Faktor-Authentifizierung per SMS darstellen.

Da herkömmliche Passwörter immer häufiger zum Ziel von Cyberattacken werden, setzen Experten verstärkt auf die passwortlose Anmeldung. Dieser kostenlose Report erklärt Ihnen, wie die neue Passkey-Technologie funktioniert und wie Sie sie bei Diensten wie Amazon oder WhatsApp für maximale Sicherheit einrichten. Passkey-Ratgeber jetzt gratis herunterladen

Letztere steht zunehmend in der Kritik. Betrugsmaschen wie SIM-Swap oder sogenannte „SMS-Blastern“, die legitime Mobilfunkmasten imitieren, nehmen zu. Die Unterstützung von Passkeys durch Apple, Google und Microsoft gilt als entscheidender Schritt, um die Angriffsfläche für Identitätsdiebstahl zu verringern.

Ausblick

Die aktuellen Vorfälle zeigen die Komplexität der modernen Bedrohungslandschaft. Software-Pipelines, Hardware-Komponenten und menschliches Verhalten – alle Bereiche werden angegriffen. Die Entdeckung von verdeckten Botnetzen wie „Raptor Train“ zeigt zudem die geopolitische Dimension der Cybersicherheit.

Für 2026 wird erwartet, dass die digitale Regulatorik in der EU weiter an Fahrt gewinnt. Mit der KI-Verordnung im August und den Vorbereitungen für die EU Digital Identity Wallet müssen Unternehmen strengere Sicherheitsanforderungen erfüllen. Der Bitwarden-Vorfall dürfte als Mahnung dienen, die Integrität automatisierter Entwicklungsprozesse stärker abzusichern.

de | boerse | 69240738 |