Bitwarden CLI 2026.4.0 版本曾通过 npm 发布恶意包

Bitwarden 安全团队称，受 Checkmarx 供应链攻击影响，Bitwarden CLI 2026.4.0 版本于 4月 23 日（UTC+8）上午 5:57 至7:30 通过 npm 发布恶意包，仅该时间段内通过 npm 安装的用户受影响。官方确认 Vault 数据未泄露，生产系统未被攻陷。建议受影响用户卸载 2026.4.0 版本，清理 npm 缓存，轮换 API Token 和 SSH Key，检查 GitHub 与 CI 异常活动，并升级至 2026.4.1 版本。