Chi l’avrebbe mai detto che l’unico modo per far saltare la sicurezza del tuo vault fosse non attaccare te, ma l’automazione che lo costruisce?
Se sei uno di quelli che preferisce gestire tutto via terminale perché l’interfassa grafica è per i pigri e l’automazione è la vera magia, questa notizia ti farà venire voglia di rimettere tutto sotto chiave (fisica, magari). La versione 2026.4.0 di Bitwarden CLI è stata compromessa. E no, non è colpa di un bug nel codice scritto da un developer stanco dopo tre caffè, ma di una campagna supply chain legata a Checkmarx che ha fatto il suo sporco lavoro.
Il trucco? Hanno sfruttato un GitHub Action all’interno della pipeline CI/CD di Bitwarden. In pratica, hanno corrotto il processo di build. Questo significa che il codice che scarichi e di cui ti fidi ciecamente è stato manipolato prima ancora di arrivare sul tuo computer. È il classico scenario da incubo: non devi forzare la porta di casa, ti basta convincere il fabbro a consegnarti una chiave già clonata.
Per noi che passiamo le serate a scrivere script Python per automatizzare tutto, dal monitoraggio delle stampanti 3D alla gestione dei server domestici, questo è un campanello d’allarme enorme. Usiamo le CLI per la comodità, ma la comodità è proprio quella superficie d’attacco che gli attaccanti amano di più. Se la catena di approvvigionamento è avvelenata, la tua fiducia è carta straccia.
Cosa bisogna fare? Non è il caso di cancellare tutto e tornare ai quadernetti di carta (anche se a volte sembra tentante), ma è vitale controllare subito la versione della vostra CLI. Se siete sulla 2026.4.0, fate un rollback o aggiornate immediatamente alla versione pulita. E per favore, non fate i pigri con i controlli degli hash o delle versioni nei vostri workflow.
Questa vicenda ci ricorda che nel mondo moderno, la sicurezza non è solo questione di password lunghe e complesse, ma di quanto è solido l’ecosistema che le supporta. Il problema della supply chain è la nuova frontiera della guerra informatica, e purtroppo ci colpisce proprio dove ci sentiamo più al sicuro. Quindi, meno fiducia cieca e più verifica rigorosa. Alla fine della fiera, l’unica vera sicurezza è quella che puoi verificare con i tuoi occhi (e i tuoi script di controllo).
Source: Bitwarden CLI compromised in ongoing Checkmarx supply chain campaign