Bitwarden CLI: Shai-Hulud Supply-Chain-Angriff analysiert

Bitwarden CLI compromise Shai-Hulud malware npm supply chain attack cybersecurity news GitHub token theft developer security
N
Natalie Ferreira

Consumer Privacy & Identity Theft Prevention Writer

 
24. April 2026
3 Min. Lesezeit
Bitwarden CLI: Shai-Hulud Supply-Chain-Angriff analysiert

TL;DR

Das npm-Paket @bitwarden/cli wurde in der Version 2026.4.0 durch den selbstvermehrenden Wurm 'Shai-Hulud' kompromittiert. Während Browser-Erweiterungen und Desktop-Apps sicher sind, sollten CLI-Nutzer sofort handeln. Der Angriff schleust Schadcode über eine Datei namens bw1.js ein.

Bitwarden CLI durch Shai-Hulud Supply-Chain-Angriff kompromittiert

Analysen von OX Security und Socket haben bestätigt, dass das npm-Paket @bitwarden/cli mit einer Backdoor versehen wurde. Die schädliche Version 2026.4.0 enthält einen selbstreplizierenden Wurm namens „Shai-Hulud“. Dieser Angriff zielt gezielt auf Entwickler und Unternehmen ab, indem die Datei bw1.js in das Paket eingeschleust wird. Während die Desktop-Anwendung und die Browser-Erweiterungen von Bitwarden weiterhin als sicher gelten, stellt das CLI-Tool, das von über 10 Millionen Anwendern genutzt wird, ein massives Risiko für die Online-Sicherheit und Privatsphäre dar.

Shai Hulud news

Bildquelle: OX Security

Technische Analyse der Schadsoftware

Die Malware wird während der preinstall-Phase über ein Skript namens bw_setup.js ausgeführt. Dabei lädt sie Bun v1.3.13 herunter, um den bösartigen Code in bw1.js auszuführen. Ein bemerkenswertes Merkmal ist der integrierte „russische Kill-Switch“: Die Malware überprüft die Spracheinstellung des Host-Rechners und bricht die Ausführung ab, falls diese auf Russisch eingestellt ist. Dies deutet darauf hin, dass die Entwickler Infektionen im eigenen Sprachraum vermeiden wollen. Um sich vor solchen regionalen Bedrohungen zu schützen, kann der Einsatz von SquirrelVPN helfen, den digitalen Fußabdruck zu verschleiern und die allgemeine Internetsicherheit zu erhöhen.

image

Bildquelle: OX Security

Datenexfiltration und GitHub-Integration

Sobald der Wurm aktiv ist, sammelt er eine Vielzahl sensibler Daten. Er hat es insbesondere auf GitHub-Token, AWS-Zugangsdaten, Azure-Token und Informationen aus der GCP abgesehen. Die gestohlenen Daten werden mittels AES-256-GCM verschlüsselt und anschließend in ein neu erstelltes, öffentliches Repository auf dem eigenen GitHub-Konto des Opfers hochgeladen. Diese Repositories tragen oft Namen, die an das „Dune“-Universum angelehnt sind, wie etwa „Shai-Hulud: The Third Coming“. Forscher von JFrog Security stellten zudem fest, dass das Tool TruffleHog eingesetzt wird, um das infizierte System nach versteckten Secrets zu durchsuchen.

Shai-Hulud Infection Analysis

Bildquelle: OX Security

Ausbreitung in der Lieferkette und Persistenz

Die Malware beschränkt sich nicht nur auf den Datendiebstahl, sondern versucht aktiv, sich weiterzuverbreiten. Unter Verwendung gestohlener npm-Token sucht sie nach anderen Paketen, für die der Entwickler Schreibrechte besitzt. Anschließend injiziert sie bösartigen Code in diese Pakete und veröffentlicht sie erneut, wodurch der Kreislauf fortgesetzt wird. Zur Sicherung der Persistenz modifiziert die Schadsoftware Shell-Profile wie ~/.bashrc und ~/.zshrc. Diese Entwicklung im Bereich der Cybersicherheit verdeutlicht, warum Multi-Faktor-Authentifizierung (MFA) und die regelmäßige Rotation von Keys für jeden Technik-Enthusiasten unerlässlich sind.

image

Bildquelle: OX Security

Empfohlene Sicherheits-Checkliste

Falls Sie die Bitwarden CLI in den letzten 24 Stunden verwendet haben, sollten Sie umgehend folgende Schritte unternehmen, um Ihre Umgebung abzusichern:

  • Sofortiges Downgrade: Setzen Sie Ihre npm-Paketversion auf 2026.3.0 oder niedriger zurück.
  • Alle Keys rotieren: Dies betrifft insbesondere GitHub Personal Access Tokens, AWS Access Keys und npm-Token.
  • Repositories prüfen: Suchen Sie in Ihrem GitHub-Account nach unautorisierten öffentlichen Repositories, die „Shai-Hulud“ in der Beschreibung enthalten.
  • Persistenz prüfen: Suchen Sie nach einer Lock-Datei unter /tmp/tmp.987654321.lock und untersuchen Sie Ihre Shell-Konfigurationsdateien auf verdächtigen Code.
  • 2FA aktivieren: Nutzen Sie konsequent Multi-Faktor-Authentifizierung für alle Entwickler- und Cloud-Konten, um unbefugten Zugriff selbst bei entwendeten Token zu verhindern.

image

Bildquelle: OX Security

Schützen Sie Ihr digitales Leben und bleiben Sie über die neuesten Bedrohungen informiert – mit Experten-Insights auf squirrelvpn.com.

N
Natalie Ferreira

Consumer Privacy & Identity Theft Prevention Writer

 

Natalie Ferreira is a consumer technology writer who specializes in identity theft prevention, online safety, and digital literacy. After experiencing identity theft firsthand, she dedicated her career to educating the public about personal data protection. Natalie has written for major consumer technology outlets and holds a degree in Journalism from Columbia University. She focuses on making cybersecurity approachable for families, seniors, and first-time internet users who may feel overwhelmed by the technical jargon.

Verwandte Nachrichten

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Von Viktor Sokolov 10. Juli 2026 4 Min. Lesezeit
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Von Marcus Chen 9. Juli 2026 4 Min. Lesezeit
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Von Elena Voss 8. Juli 2026 4 Min. Lesezeit
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Von James Okoro 7. Juli 2026 4 Min. Lesezeit
common.read_full_article