ALARM bei Bitwarden! Hacker schleichen sich ins CLI – so prüfst du JETZT, ob dein Passwort-Manager sauber ist!

ALARMSTUFE ROT bei Bitwarden! Das Self-Host-Weekly vom 24. April hat eine bittere Nachricht aufgeschnappt: Das Bitwarden Command-Line-Interface (CLI) wurde über eine kompromittierte npm-Dependency angegriffen. Passwort-Manager und Supply-Chain – diese Kombination klingt nach Albtraum, und sie ist es auch. Wenn du das CLI nutzt, lies JETZT weiter.

SCHOCK: Was ist passiert?

Eine vom Bitwarden-CLI eingebundene npm-Bibliothek wurde übernommen. Angreifer haben in einer neuen Version dieser Dependency bösartigen Code versteckt – ein klassischer Supply-Chain-Angriff. Wer das CLI in einer betroffenen Version installiert hat, hat sich den Schädling möglicherweise mit installiert.

Warum das BRUTAL ist:

• Das CLI hat Zugriff auf deinen entschlüsselten Vault.
• Bösartiger Code könnte Master-Passwort, API-Keys oder Session-Tokens ausleiten.
• Viele User nutzen das CLI in CI/CD-Pipelines – ein einziger Server-Account könnte Hunderte Geheimnisse offenlegen.
• Der Angriff ist typisch leise – npm zeigt erst nachträglich an, dass etwas faul war.

SOFORT prüfen: Bist du betroffen?

1. Version checken: bw –version ausführen.
2. Bitwarden-Status aufrufen – auf bitwarden.com/security nach offiziellen Advisories Ausschau halten.
3. npm-Audit in deinem Projektverzeichnis: npm audit oder pnpm audit.
4. Lock-File durchgrepen: Suche im package-lock.json nach der kompromittierten Dependency-Version.
5. Wenn du installiert hast: CLI deinstallieren, alle Sessions schließen, Master-Passwort ändern, alle API-Keys rotieren.

UNGLAUBLICH: So sieht ein Supply-Chain-Angriff aus

Der Trick ist immer ähnlich. Angreifer übernehmen ein gepflegtes, aber „kleines“ npm-Paket – meist über kompromittierte Maintainer-Accounts (Phishing, geklaute 2FA-Tokens, soziale Tricks). Dann veröffentlichen sie eine neue Version, die genau wie das Original aussieht, aber im Hintergrund Schaden anrichtet. Wenn ein bekanntes Tool wie Bitwarden CLI diese Bibliothek einbindet, zieht es automatisch die böse Version mit.

SO schützt du dich GENERELL!

1. Lock-Files committen – nutze package-lock.json und pnpm-lock.yaml, damit du nicht versehentlich neue Versionen ziehst.
2. Dependency-Pinning – exakte Versionen statt Range-Angaben („^1.2.3″ wird zur Falle).
3. SBOMs erstellen – Software Bill of Materials für jede Release.
4. Offline-Mirroring – Verifone, Sonatype Nexus oder Verdaccio als interner Mirror.
5. 2FA für npm-Accounts – jeder Maintainer in deiner Org braucht das.

EXTRA-Tipp: Vaultwarden als Alternative!

Wer wirklich nervös wird, sollte mal über Vaultwarden nachdenken. Das ist ein in Rust geschriebener, kompatibler Bitwarden-Server, der self-hosted läuft und keine npm-Abhängigkeiten hat. Du nutzt weiterhin die offiziellen Bitwarden-Clients (Browser, Mobile, Desktop), aber dein Vault liegt auf deinem eigenen Server.

So setzt du Vaultwarden auf:

1. Auf einem Homelab-Server (z.B. einer Proxmox-VM): Docker installieren.
2. docker run -d –name vaultwarden -e ADMIN_TOKEN=<random> -p 8080:80 -v ./vw-data:/data vaultwarden/server:latest
3. Hinter Reverse-Proxy mit gültigem TLS-Zertifikat (Caddy oder nginx) packen.
4. In den Bitwarden-Clients als Server-URL die Vaultwarden-URL eintragen.
5. Mit dem Bitwarden-Importer Vault-Daten rüberziehen.

Vaultwarden ist nicht offiziell von Bitwarden, aber sehr aktiv gepflegt und in vielen Homelabs Standard.

WARNUNG: Niemals Master-Passwort im Klartext!

Egal, ob bei Bitwarden, Vaultwarden oder einem anderen Tool – füttere niemals dein Master-Passwort in Skripte, Pipelines oder Cloud-Services. Nutze stattdessen Service-Accounts mit eingeschränkten Rechten oder OAuth-Tokens, die du jederzeit revoken kannst.

FAZIT: Supply-Chain bleibt das Albtraum-Thema!

2026 ist das Jahr der Lieferketten-Angriffe. Schon Checkmarx KICS auf Docker Hub, jetzt Bitwarden CLI, davor xz-utils, npm-Pakete reihenweise. Wer Tools mit Zugriff auf Geheimnisse einsetzt, MUSS Lock-Files, SBOMs und Mirror-Strategien fahren. Bitwarden bleibt ein guter Passwort-Manager, aber der CLI-Vorfall zeigt: Selbst hier liegt das Risiko nicht in den Kern-Servern, sondern in den vielen kleinen Bibliotheken drumherum. Augen auf, Master-Passwort wechseln, und ans Self-Hosting denken!

EXTRA-Bonus: Was Bitwarden offiziell sagt

Bitwarden hat im Status-Bereich auf bitwarden.com/security alle Details öffentlich gemacht und betont: Die Hauptserver waren NICHT betroffen, der Vorfall traf ausschließlich das CLI-Paket. Das ist wichtig für alle, die nur Browser-Extension oder Mobile-App nutzen – die sind außen vor. Aber CI/CD-Pipelines, Docker-Container mit dem CLI, Skripte, die auf Vault-Daten zugreifen, müssen dringend geprüft werden. Bitwarden empfiehlt zusätzlich, alle API-Tokens und Personal-Access-Tokens zu rotieren – so bist du sicher, dass eventuelle Abflüsse zumindest entwertet sind.