#bitwarden — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #bitwarden, aggregated by home.social.
-
CVE Alert: CVE-2026-43639 - bitwarden - server - https://www.redpacketsecurity.com/cve-alert-cve-2026-43639-bitwarden-server/
#OSINT #ThreatIntel #CyberSecurity #cve-2026-43639 #bitwarden #server
-
CVE Alert: CVE-2026-43640 - bitwarden - server - https://www.redpacketsecurity.com/cve-alert-cve-2026-43640-bitwarden-server/
#OSINT #ThreatIntel #CyberSecurity #cve-2026-43640 #bitwarden #server
-
Are you on the safe side yet? 🛡️
In an era of sophisticated phishing and data breaches, relying on passwords or SMS codes is like locking your front door but leaving the key under the mat. For a robust level of private security, I’ve integrated Yubico Yubikey into my daily routine as the ultimate hardware root of trust.
The true value of "Cold" Security
Hardware authenticators offer unparalleled security. Their physical nature means cryptographic keys are embedded directly, making them impossible to copy, extract, or steal remotely. No physical device, no access. Period.
My "Strict Security" Setup
I’ve minimized my attack surface by removing the weakest links:
1. Phone-Free: I have disabled phone number linkage and SMS authentication wherever possible to eliminate SIM-swapping risks.
2. Passwordless: Where supported, I use FIDO2/WebAuthn. No password means no password can be phished.
3. The Backup Rule: I use a minimum of two keys. My primary key is always with me, and a backup key is hidden in a secure, off-site location.
Hardware-Signed Workflow
I leverage the full multi-protocol potential of the key:
- GPG & Git: I use GPG primarily for signing git commits. When I push code, I am physically "touching" the hardware to sign that digital information.
- PIV/SSH: Secure access to servers without resident private keys on the machine.
- OTP & Static Passwords: Bridges for legacy services.
The Vault Strategy
For passwords and sensitive metadata, I rely on Bitwarden. Access to my vault is strictly locked behind my hardware keys.
> No, I'm not "that paranoid" ... yet. But I do keep an eye on the compromise of central servers. That’s why I’m planning to implement a fully self-hosted, self-controlled vault solution soon.
I’d love to hear your thoughts – what are your favorite self-hosted security stacks?
#CyberSecurity #YubiKey #Bitwarden #Infosec #Privacy #MFA #PGP #SSH #SecurityEngineering #SelfHosted
-
Are you on the safe side yet? 🛡️
In an era of sophisticated phishing and data breaches, relying on passwords or SMS codes is like locking your front door but leaving the key under the mat. For a robust level of private security, I’ve integrated Yubico Yubikey into my daily routine as the ultimate hardware root of trust.
The true value of "Cold" Security
Hardware authenticators offer unparalleled security. Their physical nature means cryptographic keys are embedded directly, making them impossible to copy, extract, or steal remotely. No physical device, no access. Period.
My "Strict Security" Setup
I’ve minimized my attack surface by removing the weakest links:
1. Phone-Free: I have disabled phone number linkage and SMS authentication wherever possible to eliminate SIM-swapping risks.
2. Passwordless: Where supported, I use FIDO2/WebAuthn. No password means no password can be phished.
3. The Backup Rule: I use a minimum of two keys. My primary key is always with me, and a backup key is hidden in a secure, off-site location.
Hardware-Signed Workflow
I leverage the full multi-protocol potential of the key:
- GPG & Git: I use GPG primarily for signing git commits. When I push code, I am physically "touching" the hardware to sign that digital information.
- PIV/SSH: Secure access to servers without resident private keys on the machine.
- OTP & Static Passwords: Bridges for legacy services.
The Vault Strategy
For passwords and sensitive metadata, I rely on Bitwarden. Access to my vault is strictly locked behind my hardware keys.
> No, I'm not "that paranoid" ... yet. But I do keep an eye on the compromise of central servers. That’s why I’m planning to implement a fully self-hosted, self-controlled vault solution soon.
I’d love to hear your thoughts – what are your favorite self-hosted security stacks?
#CyberSecurity #YubiKey #Bitwarden #Infosec #Privacy #MFA #PGP #SSH #SecurityEngineering #SelfHosted
-
In my opinion, this was only a matter of time and not whether this would happen.
«OpenClaw Malware Targets Crypto Wallets and Bitwarden Credentials:
OpenClaw users are being targeted in a fresh malware campaign that abuses a fake installer to steal credentials from popular crypto wallets and password managers, including MetaMask, Phantom, and Bitwarden.»🦞 https://gbhackers.com/openclaw-malware/
#bitwarden #metamask #phantom #ai #crypto #malware #openclaw #credential #passwords #cryptowallet #fakeinstaller
-
Was genau ist ein Passkey?
Ein Passkey ist eine moderne und deutlich sicherere Alternative zum klassischen Passwort.
Anstatt sich komplizierte Passwörter merken zu müssen, meldet man sich einfach mit dem eigenen Gerät an – zum Beispiel per Fingerabdruck, Gesichtserkennung oder Geräte-PIN.
Der Passkey wird dabei sicher auf Ihrem Smartphone, Passwort-Manager oder Computer gespeichert.
Wie funktioniert das?
Vereinfacht gesagt bekommt jede Website zwei digitale Schlüssel:
Einen öffentlichen Schlüssel, den die Website speichert
Einen privaten Schlüssel, der nur auf Ihrem Gerät bleibt
Der private Schlüssel verlässt Ihr Gerät niemals.
[…]
#1password #ActivityPubPlugin #authentifizierung #bitwarden #blog #datenschutz #FediBlog #keepass #keepassdx #keepassxc #login #passkey #passkeys #passwort #passwörter #phishingschutz #sicherheit #wordpressBlog #WordPressFederation
Link zum kompletten Beitrag: https://mapf.net/u54k
-
Was genau ist ein Passkey?
Ein Passkey ist eine moderne und deutlich sicherere Alternative zum klassischen Passwort.
Anstatt sich komplizierte Passwörter merken zu müssen, meldet man sich einfach mit dem eigenen Gerät an – zum Beispiel per Fingerabdruck, Gesichtserkennung oder Geräte-PIN.
Der Passkey wird dabei sicher auf Ihrem Smartphone, Passwort-Manager oder Computer gespeichert.
Wie funktioniert das?
Vereinfacht gesagt bekommt jede Website zwei digitale Schlüssel:
Einen öffentlichen Schlüssel, den die Website speichert
Einen privaten Schlüssel, der nur auf Ihrem Gerät bleibt
Der private Schlüssel verlässt Ihr Gerät niemals.
[…]
#1password #ActivityPubPlugin #authentifizierung #bitwarden #blog #datenschutz #FediBlog #keepass #keepassdx #keepassxc #login #passkey #passkeys #passwort #passwörter #phishingschutz #sicherheit #wordpressBlog #WordPressFederation
Link zum kompletten Beitrag: https://mapf.net/u54k
-
Was genau ist ein Passkey?
Ein Passkey ist eine moderne und deutlich sicherere Alternative zum klassischen Passwort.
Anstatt sich komplizierte Passwörter merken zu müssen, meldet man sich einfach mit dem eigenen Gerät an – zum Beispiel per Fingerabdruck, Gesichtserkennung oder Geräte-PIN.
Der Passkey wird dabei sicher auf Ihrem Smartphone, Passwort-Manager oder Computer gespeichert.
Wie funktioniert das?
Vereinfacht gesagt bekommt jede Website zwei digitale Schlüssel:
Einen öffentlichen Schlüssel, den die Website speichert
Einen privaten Schlüssel, der nur auf Ihrem Gerät bleibt
Der private Schlüssel verlässt Ihr Gerät niemals.
[…]
#1password #ActivityPubPlugin #authentifizierung #bitwarden #blog #datenschutz #FediBlog #keepass #keepassdx #keepassxc #login #passkey #passkeys #passwort #passwörter #phishingschutz #sicherheit #wordpressBlog #WordPressFederation
Link zum kompletten Beitrag: https://mapf.net/u54k
-
Was genau ist ein Passkey?
Ein Passkey ist eine moderne und deutlich sicherere Alternative zum klassischen Passwort.
Anstatt sich komplizierte Passwörter merken zu müssen, meldet man sich einfach mit dem eigenen Gerät an – zum Beispiel per Fingerabdruck, Gesichtserkennung oder Geräte-PIN.
Der Passkey wird dabei sicher auf Ihrem Smartphone, Passwort-Manager oder Computer gespeichert.
Wie funktioniert das?
Vereinfacht gesagt bekommt jede Website zwei digitale Schlüssel:
Einen öffentlichen Schlüssel, den die Website speichert
Einen privaten Schlüssel, der nur auf Ihrem Gerät bleibt
Der private Schlüssel verlässt Ihr Gerät niemals.
[…]
#1password #ActivityPubPlugin #authentifizierung #bitwarden #blog #datenschutz #FediBlog #keepass #keepassdx #keepassxc #login #passkey #passkeys #passwort #passwörter #phishingschutz #sicherheit #wordpressBlog #WordPressFederation
Link zum kompletten Beitrag: https://mapf.net/u54k
-
Was genau ist ein Passkey?
Ein Passkey ist eine moderne und deutlich sicherere Alternative zum klassischen Passwort.
Anstatt sich komplizierte Passwörter merken zu müssen, meldet man sich einfach mit dem eigenen Gerät an – zum Beispiel per Fingerabdruck, Gesichtserkennung oder Geräte-PIN.
Der Passkey wird dabei sicher auf Ihrem Smartphone, Passwort-Manager oder Computer gespeichert.
Wie funktioniert das?
Vereinfacht gesagt bekommt jede Website zwei digitale Schlüssel:
Einen öffentlichen Schlüssel, den die Website speichert
Einen privaten Schlüssel, der nur auf Ihrem Gerät bleibt
Der private Schlüssel verlässt Ihr Gerät niemals.
[…]
#1password #ActivityPubPlugin #authentifizierung #bitwarden #blog #datenschutz #FediBlog #keepass #keepassdx #keepassxc #login #passkey #passkeys #passwort #passwörter #phishingschutz #sicherheit #wordpressBlog #WordPressFederation
Link zum kompletten Beitrag: https://mapf.net/u54k
-
Do someone know why exactly do #bitwarden is forcing https on self-hosted servers? I have #vaultwarden behind #headscale already, and all the bitwarden clients are refusing to work (unless I stop them from updating). Seems like a dick move. #askfedi
-
Do someone know why exactly do #bitwarden is forcing https on self-hosted servers? I have #vaultwarden behind #headscale already, and all the bitwarden clients are refusing to work (unless I stop them from updating). Seems like a dick move. #askfedi
-
Do someone know why exactly do #bitwarden is forcing https on self-hosted servers? I have #vaultwarden behind #headscale already, and all the bitwarden clients are refusing to work (unless I stop them from updating). Seems like a dick move. #askfedi
-
Do someone know why exactly do #bitwarden is forcing https on self-hosted servers? I have #vaultwarden behind #headscale already, and all the bitwarden clients are refusing to work (unless I stop them from updating). Seems like a dick move. #askfedi
-
Do someone know why exactly do #bitwarden is forcing https on self-hosted servers? I have #vaultwarden behind #headscale already, and all the bitwarden clients are refusing to work (unless I stop them from updating). Seems like a dick move. #askfedi
-
TyfloPrzegląd Odcinek nr 330
https://tyflopodcast.net/tyfloprzeglad-odcinek-nr-330/ -
TyfloPrzegląd Odcinek nr 330
https://tyflopodcast.net/tyfloprzeglad-odcinek-nr-330/ -
TyfloPrzegląd Odcinek nr 330
https://tyflopodcast.net/tyfloprzeglad-odcinek-nr-330/ -
1Password adds direct credential import via the Credential Exchange Protocol, plus smarter login creation on iOS and Android for more seamless vault organization. 🔑
I recommend using a password manager daily to keep passwords secure and simplify everyday login management. 🛡️🔗 https://1password.com/blog/import-autofill-organize-whats-new-in-1password-this-quarter/
#TechNews #1Password #PasswordManager #Password #Passwords #iOS #Android #Privacy #Security #Encryption #DigitalSafety #FOSS #UX #CyberSecurity #Software #Bitwarden #OpenSource
-
For those interested in more secure browsers, I am currently testing #Helium- fwiw it does work with #Bitwarden on #Linux #Debian as password manager.
#Security #Browser #Internet #Privacy #Fast #Chromium #Technology #Software #News #Education
-
For those interested in more secure browsers, I am currently testing #Helium- fwiw it does work with #Bitwarden on #Linux #Debian as password manager.
#Security #Browser #Internet #Privacy #Fast #Chromium #Technology #Software #News #Education
-
For those interested in more secure browsers, I am currently testing #Helium- fwiw it does work with #Bitwarden on #Linux #Debian as password manager.
#Security #Browser #Internet #Privacy #Fast #Chromium #Technology #Software #News #Education
-
For those interested in more secure browsers, I am currently testing #Helium- fwiw it does work with #Bitwarden on #Linux #Debian as password manager.
#Security #Browser #Internet #Privacy #Fast #Chromium #Technology #Software #News #Education
-
Erfahrungsbericht: Einer der einfachsten Umstiege, aber einer bei dem ich lange recherchiert und getestet habe war der Passwortmanager. #1Password ist super, aber eben nicht #OpenSource. #KeePass war in der sehr engen Wahl - Lösung für die ganze Familie - und eine komplette Schule? #usability und Geräteübergreifender sync ohne eigene Server betreiben zu müssen, war sehr wichtig. #Bitwarden erfüllt das
https://harald-schirmer.de/2025/10/20/umstieg-in-4-schritten-auf-sichere-passwort-manager/
-
Bit Warden had an issue with a worm that affects many / some? You should at least read / watch about the potential damage, even it is all a bit techy for most. Stay up to date and decide if action is required. #worm #bitwarden #cli #maintainer #youtube youtu.be/-_TWFbw8XjU?...
HUGE password manager got comp... -
🛠️ The pragmatic infrastructure nerds are back.
📻 Ep. 5 — Framework Makes the Dreamwork
The crew breaks down everything new from Framework's big announcement week, Kasm's new Proxmox autoscaler partnership opens up self-hosted VDI for the rest of us, and our thoughts on the pricing of the Steam Controller.
#bitflipshow #Framework #FrameworkLaptop #Kasm #Proxmox #Vdi #SteamController #Gaming #Ubuntu #Fedora #Bitwarden
-
🛠️ The pragmatic infrastructure nerds are back.
📻 Ep. 5 — Framework Makes the Dreamwork
The crew breaks down everything new from Framework's big announcement week, Kasm's new Proxmox autoscaler partnership opens up self-hosted VDI for the rest of us, and our thoughts on the pricing of the Steam Controller.
#bitflipshow #Framework #FrameworkLaptop #Kasm #Proxmox #Vdi #SteamController #Gaming #Ubuntu #Fedora #Bitwarden
-
🛠️ The pragmatic infrastructure nerds are back.
📻 Ep. 5 — Framework Makes the Dreamwork
The crew breaks down everything new from Framework's big announcement week, Kasm's new Proxmox autoscaler partnership opens up self-hosted VDI for the rest of us, and our thoughts on the pricing of the Steam Controller.
#bitflipshow #Framework #FrameworkLaptop #Kasm #Proxmox #Vdi #SteamController #Gaming #Ubuntu #Fedora #Bitwarden
-
🛠️ The pragmatic infrastructure nerds are back.
📻 Ep. 5 — Framework Makes the Dreamwork
The crew breaks down everything new from Framework's big announcement week, Kasm's new Proxmox autoscaler partnership opens up self-hosted VDI for the rest of us, and our thoughts on the pricing of the Steam Controller.
#bitflipshow #Framework #FrameworkLaptop #Kasm #Proxmox #Vdi #SteamController #Gaming #Ubuntu #Fedora #Bitwarden
-
🛠️ The pragmatic infrastructure nerds are back.
📻 Ep. 5 — Framework Makes the Dreamwork
The crew breaks down everything new from Framework's big announcement week, Kasm's new Proxmox autoscaler partnership opens up self-hosted VDI for the rest of us, and our thoughts on the pricing of the Steam Controller.
#bitflipshow #Framework #FrameworkLaptop #Kasm #Proxmox #Vdi #SteamController #Gaming #Ubuntu #Fedora #Bitwarden
-
Twórcy zabezpieczeń sami padli ofiarą hakerów. Jak atak na Trivy wywołał efekt domina
Kiedy firmy odpowiedzialne za ochronę naszych danych same stają się celem skutecznego ataku, w całej branży zapala się czerwona lampka.
Groźny atak na łańcuch dostaw skompromitował popularne narzędzia dla programistów, uderzając rykoszetem w gigantów cyberbezpieczeństwa – firmy Checkmarx oraz Bitwarden. To dobitny dowód na to, że przestępcy znaleźli nowy, niezwykle skuteczny wektor ataku: infekowanie samych strażników.
Atak na łańcuch dostaw. Złośliwa aktualizacja Bitwarden CLI zagrażała deweloperom
Efekt domina. Jak złośliwy kod zainfekował gigantów
Wszystko zaczęło się w połowie marca od przejęcia konta na GitHubie należącego do Trivy – szeroko wykorzystywanego skanera podatności w kodzie. Hakerzy z grupy TeamPCP wykorzystali ten dostęp, by przemycić złośliwe oprogramowanie bezpośrednio do aktualizacji pobieranych przez użytkowników narzędzia. Malware błyskawicznie zaczął przeczesywać zainfekowane maszyny w poszukiwaniu tokenów dostępu, kluczy SSH i poufnych danych uwierzytelniających.
W ten sposób przestępcy bezszelestnie włamali się do systemów firm Checkmarx oraz Bitwarden (o ataku na ten popularny menedżer haseł pisaliśmy już wcześniej). Zamiast atakować korporacje frontalnie, hakerzy weszli głównymi drzwiami, wykorzystując zaufane oprogramowanie firm trzecich.
Podwójny koszmar Checkmarx. Od kradzieży danych po szantaż
Dla firmy Checkmarx był to zaledwie początek trwającego ponad miesiąc kryzysu. Krótko po pierwszej infekcji, napastnicy przejęli oficjalne konto firmy na GitHubie i zaczęli rozsyłać złośliwy kod dalej – prosto do jej klientów. Choć Checkmarx poinformowało o szybkim załataniu luki, 22 kwietnia sytuacja się powtórzyła, co sugeruje, że intruzi nigdy nie utracili dostępu do infrastruktury.
Jakby tego było mało, do gry wkroczyła niesławna grupa ransomware Lapsu$, która pod koniec kwietnia opublikowała w dark webie prywatne pliki wykradzione z serwerów Checkmarx. Wskazuje to na brutalną rynkową praktykę: grupa TeamPCP najpewniej sprzedała dostęp do przejętej sieci młodym hakerom z Lapsu$, a firma przez tygodnie nie potrafiła zidentyfikować pełnej skali włamania.
Dlaczego hakerzy polują na narzędzia bezpieczeństwa?
Ten incydent obnaża nową strategię cyberprzestępców. Oprogramowanie zabezpieczające jest dziś traktowane przez hakerów jednocześnie jako główny cel i idealny mechanizm dystrybucji wirusów.
Tego typu programy mają z założenia głęboki, uprzywilejowany dostęp do najbardziej wrażliwych danych w systemach korporacyjnych. Atakując zaufane narzędzia, hakerzy jednym celnym ciosem otwierają sobie drzwi do tysięcy kolejnych ofiar w dół łańcucha dostaw. To efekt kaskadowy, który pokazuje, że w dzisiejszym świecie IT nikt nie jest w pełni bezpieczny – nawet ci, którzy ten świat chronią.
#Bitwarden #Checkmarx #cyberbezpieczeństwo #hakerzy #Lapsu #ransomware #Trivy #wyciekDanych -
Bitwarden CLI was compromised via the Checkmarx supply‑chain campaign—attackers injected malicious code into @bitwarden/cli v2026.4.0 through a poisoned CI/CD GitHub Action. Users should avoid v2026.4.0, rotate keys, and audit CI/CD. Details: https://cyberinsider.com/bitwarden-cli-backdoored-in-checkmarx-supply-chain-attack/ 🚨🔒⚠️ #SupplyChainAttack #InfoSec #Bitwarden #Checkmarx
-
Bitwarden CLI version 2026.4.0 was compromised via a GitHub Actions supply chain attack, distributing malicious npm code that stole secrets 🔓
The package was briefly available before removal, with attackers exfiltrating tokens and injecting workflows across CI pipelines 🔐🔗 https://thehackernews.com/2026/04/bitwarden-cli-compromised-in-ongoing.html
#TechNews #Bitwarden #SupplyChainAttack #Cybersecurity #GitHub #npm #DevSecOps #OpenSource #Security #Infosec #DataBreach #Malware #Encryption #Privacy #Vulnerability #PasswordManager #Password
-
Atak na łańcuch dostaw. Złośliwa aktualizacja Bitwarden CLI zagrażała deweloperom
Menedżery haseł to fundament cyfrowego bezpieczeństwa, dlatego każda informacja o incydentach w ich infrastrukturze budzi natychmiastowy niepokój.
Badacze z firm Socket oraz JFrog Security odkryli złośliwą aktualizację interfejsu wiersza poleceń (CLI) dla popularnego Bitwardena. Choć sytuacja wyglądała groźnie, atak miał charakter wysoce ukierunkowany i – co najważniejsze – prywatne sejfy z hasłami użytkowników pozostały całkowicie bezpieczne.
Incydent miał miejsce 22 kwietnia 2026 roku. W ramach szerzej zakrojonej kampanii wymierzonej w łańcuchy dostaw (tzw. supply chain attack), w repozytorium npm pojawiła się zmodyfikowana, złośliwa wersja pakietu Bitwarden CLI, oznaczona numerem 2026.4.0. Z oficjalnego komunikatu firmy wynika, że paczka była dostępna do pobrania przez niezwykle krótkie okno czasowe – około 1,5 godziny.
Hakerzy (najprawdopodobniej grupa TeamPCP) wykorzystali przejęte wcześniej tokeny, aby opublikować infekujący kod. Co istotne, atak ten jest bezpośrednio powiązany z wcześniejszym naruszeniem infrastruktury firmy Checkmarx, zajmującej się dostarczaniem narzędzi do testowania bezpieczeństwa aplikacji.
Precyzyjne uderzenie w środowiska chmurowe
Analiza przeprowadzona przez ekspertów z JFrog i OX Security wykazała, że złośliwa aktualizacja nie była nastawiona na przeciętnego użytkownika zapisującego hasła do serwisów społecznościowych. To zaawansowane narzędzie stworzone do infiltracji środowisk deweloperskich.
Zmodyfikowany pakiet wykorzystywał niestandardowy loader (bw_setup.js), uruchamiany automatycznie podczas procesu instalacji. Uwalniał on zaciemniony skrypt, który po cichu skanował system ofiary, kradnąc najbardziej wrażliwe dane programistyczne:
- Klucze SSH oraz historię poleceń w terminalu.
- Tokeny autoryzacyjne dla platform GitHub oraz npm.
- Poświadczenia dostępowe do chmur AWS, Microsoft Azure i Google Cloud Platform (GCP).
- Pliki konfiguracyjne środowisk Kubernetes, systemów CI/CD oraz narzędzi bazujących na sztucznej inteligencji.
Zgromadzone dane były kompresowane, podwójnie szyfrowane i wysyłane na przejęty serwer (podszywający się pod usługi telemetryczne Checkmarx). W przypadku blokady tego połączenia złośliwy kod wykorzystywał tokeny ofiary, aby stworzyć na jej prywatnym koncie GitHub nowe repozytorium i tam przemycić wykradzione informacje.
Sejfy z hasłami są bezpieczne
Bitwarden zareagował błyskawicznie, usuwając fałszywą wersję z repozytorium i odcinając skompromitowane punkty dostępu. W oficjalnym oświadczeniu firma jasno zaznaczyła, że główny kod źródłowy aplikacji oraz systemy produkcyjne nie zostały naruszone. Nie ma również żadnych dowodów na to, by atakujący uzyskali dostęp do zaszyfrowanych sejfów użytkowników. Problem dotyczy wyłącznie specyficznej grupy programistów i administratorów, którzy pobrali Bitwarden CLI w wersji 2026.4.0 bezpośrednio przez menedżer npm we wskazanym, 1,5-godzinnym oknie czasowym.
Osoby, które mogły paść ofiarą ataku, powinny natychmiast wykonać kroki zaradcze:
- Odinstalować skompromitowaną paczkę (npm uninstall -g @bitwarden/cli).
- Wyczyścić pamięć podręczną menedżera (npm cache clean –force).
- Bezwzględnie zresetować i wygenerować na nowo wszystkie klucze API, tokeny dostępowe oraz klucze SSH, które znajdowały się na zainfekowanej maszynie.
- Zainstalować najnowszą, czystą wersję Bitwarden CLI 2026.4.1.
Eksperci z branży cyberbezpieczeństwa zgodnie podkreślają – ten incydent nie jest powodem do rezygnacji z menedżerów haseł. Ryzyko wynikające z używania tych samych ciągów znaków w wielu serwisach jest wielokrotnie wyższe niż to płynące z ukierunkowanych ataków na pakiety deweloperskie.
#Bitwarden #BitwardenCLI #Checkmarx #cyberbezpieczeństwo #GitHub #kradzieżDanych #malware #npm #programowanie #supplyChainAttackRosnąca fala phishingu: ataki na kopie iCloud z użyciem fałszywych stron Apple
-
Bitwarden has confirmed a brief supply-chain compromise of its CLI 2026.4.0 npm package, with no evidence of vault data exposure.
https://linuxiac.com/bitwarden-confirms-short-lived-npm-compromise-affecting-cli-package/ -
🚨 TeamPCP hijacks Bitwarden CLI in supply chain attack, abusing GitHub Dependabot to deploy Shai-Hulud malware and steal developer secrets, poison AI coding tools.
Read: https://hackread.com/teampcp-bitwarden-cli-dependabot-shai-hulud-malware/
#CyberSecurity #TeamPCP #Malware #Bitwarden #GitHub #Dependabot
-
🚨 TeamPCP hijacks Bitwarden CLI in supply chain attack, abusing GitHub Dependabot to deploy Shai-Hulud malware and steal developer secrets, poison AI coding tools.
Read: https://hackread.com/teampcp-bitwarden-cli-dependabot-shai-hulud-malware/
#CyberSecurity #TeamPCP #Malware #Bitwarden #GitHub #Dependabot
-
🚨 TeamPCP hijacks Bitwarden CLI in supply chain attack, abusing GitHub Dependabot to deploy Shai-Hulud malware and steal developer secrets, poison AI coding tools.
Read: https://hackread.com/teampcp-bitwarden-cli-dependabot-shai-hulud-malware/
#CyberSecurity #TeamPCP #Malware #Bitwarden #GitHub #Dependabot
-
🚨 TeamPCP hijacks Bitwarden CLI in supply chain attack, abusing GitHub Dependabot to deploy Shai-Hulud malware and steal developer secrets, poison AI coding tools.
Read: https://hackread.com/teampcp-bitwarden-cli-dependabot-shai-hulud-malware/
#CyberSecurity #TeamPCP #Malware #Bitwarden #GitHub #Dependabot
-
🚨 TeamPCP hijacks Bitwarden CLI in supply chain attack, abusing GitHub Dependabot to deploy Shai-Hulud malware and steal developer secrets, poison AI coding tools.
Read: https://hackread.com/teampcp-bitwarden-cli-dependabot-shai-hulud-malware/
#CyberSecurity #TeamPCP #Malware #Bitwarden #GitHub #Dependabot
-
This Week in Security: Annoyed Researchers, Dangling DNS, and Hacks that Could Have Been Worse
-
This Week in Security: Annoyed Researchers, Dangling DNS, and Hacks that Could Have Been Worse
-
This Week in Security: Annoyed Researchers, Dangling DNS, and Hacks that Could Have Been Worse
-
This Week in Security: Annoyed Researchers, Dangling DNS, and Hacks that Could Have Been Worse
-
«Passwortsafe Bitwarden — Kommandozeilen-Client trojanisiert:
Das Bitwarden-Security-Team bestätigt, dass kurzzeitig eine bösartige Version des Kommandozeilen-Client ausgeliefert wurde.»Jetzt war @bitwarden daran und das per NPM. Wieviel mal wird dies und ähnliches noch auftauchen? NPM ist leider mittlerweile das Einfallstor für viele Sicherheitslücken.
🔐 https://www.heise.de/news/Passwortsafe-Bitwarden-Kommandozeilen-Client-trojanisiert-11270435.html
#npm #bitwarden #javascript #hacking #passwort #js #npmjs #itsicherheit #it #web #webdev #sicherheit
-
Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain Campaign
Bitwarden CLI 2026.4.0 was compromised in the Checkmarx supply chain campaign after attackers abused a GitHub Action in Bitwarden’s CI/CD pipeline.
-
Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain Campaign
https://socket.dev/blog/bitwarden-cli-compromised
#HackerNews #Bitwarden #Checkmarx #SupplyChain #Cybersecurity #SecurityBreach #OpenSource
-
We just learned that at the start of this year @disroot launched a #Vaultwarden instance. Having been fed up with @bitwarden for a while now (trying to force a CLA, slopcode, and apparently the next renewal would have cost Us double what We've been paying for the past 5 years), We moved basically instantly, canceled the subscription, removed the old account and set up a donation almost more out of spite than anything, now #Disroot will get more money from Us than #Bitwarden would've sneakily upcharged, and use that money for the benefit of a community, rather than the detriment.
Not to mention that even without paying Vaultwarden offers more functionality (notably TOTP support) than Bitwarden's free tier. And it works with all the same clients as Bitwarden, so you(g) don't even need to switch software to start using. Bitwarden's export and import functionality is swift and painless, although remember to separately grab the custom domains, those aren't in the export, as We've learned the hard way.
