Betroffen ist das “npm-Paket @bitwarden/cli in der Version 2026.4.0”, was “[z]wischen 23:57 Uhr am 22. April und 01:30 Uhr am 23. April deutscher Zeit (17:57 Uhr bis 19:30 Uhr ET)” ausgeliefert wurde, mittlerweile aber wieder aus den Repos raus ist.

Ziel seien offen gespeicherte Zugangsdaten, Konfigurationsdateien; der Vault sei dabei nicht kompromittiert.

Klingt nach einem ziemlichen Totalschaden. Gut, dass es rasch behoben wurde