大家都錯過了這個。幾天前，bitwarden cli (其中一個最大的密碼管理器) 在 npm 上被植入後門。

存活了93分鐘。在有人注意到之前，有334位開發者安裝了它。
事情的經過：
> 攻擊者劫持了一位 bitwarden 工程師的 github 帳號
> 推送了一個惡意版本的 npm 套件 (@bitwarden/cli@2026.4.0)。
> 在那段時間內，任何運行 npm install bitwarden/cli 的人都下載了後門。
安裝腳本並未直接傳送惡意軟體。它從 github 的官方發布端點下載了 bun 執行環境，因此網路流量看起來完全合法。然後 bun 執行了真正的載荷，bw1.js。
被盜取的內容：
> npm 令牌
> github 令牌
> ssh 金鑰
> aws / gcp / azure 憑證
> .env 檔案內容
> 來自 claude code 和 codex cli 的 mcp 配置檔 (是的，AI 助手的秘密現在也成為戰利品的一部分)