Bitwarden CLI 遭供应链投毒

这次攻击的精妙之处在于目标选择：CLI 工具比 GUI 更难被普通用户注意到异常，且企业自动化部署场景往往赋予更高权限。攻击者专门挑 npm 包中的 bw1.js 下手，说明对 Bitwarden 构建产物结构有深入研究，不是广撒网式攻击。

值得警惕的是，这是 Checkmarx 披露的同一波 GitHub Actions 入侵系列的最新受害者，此前已有多家开源项目中招但未被公开命名。如果你的团队也在用 GitHub Actions 做 npm 发布，建议立即检查：是否有长期未轮换的 GH_TOKEN、是否启用了 OIDC 而非静态凭证、是否对发布包做了签名验证。这三项里缺任意一项，都可能成为下一个目标。