Bitwarden CLI password manager trojanized in supply chain attack
CSO Online 23.04.2026 23:09
Researchers warn of a new software supply chain attack that resulted in a malicious version of Bitwarden CLI, the terminal version of the extremely popular open-source password manager. The attack is believed to be related to the string of recent supply chain compromises attributed to a group called TeamPCP.
“The attack appears to have leveraged a compromised GitHub Action in Bitwarden’s CI/CD pipeline, consistent with the pattern seen across other affected repositories in this campaign,” researchers from security firm Socket.dev said in a report.
Behörde für abgesicherte Ausweise geknackt – Millionen Franzosen betroffen
Heise Security 23.04.2026 21:01
Frankreichs Behörde für Ausweise gesteht ein, dass Daten von 12 Millionen Franzosen auf dem Schwarzmarkt feilgeboten werden. Der Täter spricht von 19 Millionen.
Passwortsafe Bitwarden: Kommandozeilen-Client trojanisiert
Heise Security 23.04.2026 16:58
Das Bitwarden-Security-Team bestätigt, dass kurzzeitig eine bösartige Version des Kommandozeilen-Client ausgeliefert wurde.
Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain Campaign
The Hacker News 23.04.2026 13:42
Bitwarden CLI has been compromised as part of the newly discovered and ongoing Checkmarx supply chain campaign, according to new findings from JFrog and Socket.
"The affected package version appears to be @bitwarden/cli@2026.4.0, and the malicious code was published in 'bw1.js,' a file included in the package contents," the application security company said.
"The attack appears to have leveraged
Tails 7.7: Warnung vor abgelaufenen Secure-Boot-Zertifikaten
Heise Security 23.04.2026 13:12
Die Linux-Distribution für anonymes Bewegen im Netz, Tails, ist in Version 7.7 erschienen. Sie warnt vor alten Secure-Boot-Zertifikaten.
Apple Fixes iOS Notification Bug Exposing Deleted Messages
Infosecurity Magazine 23.04.2026 13:00
Apple patches iOS flaw that retained deleted notifications, exposing message data
Cyberangriffe: Wie chinesische Botnetze heimische Router kapern
Spiegel Online 23.04.2026 11:29
Deutsche Sicherheitsbehörden warnen, dass Angreifer aus China internetfähige Heimgeräte kompromittieren. Die betroffenen Router oder Smart-TVs sollen Staatshackern helfen, ihre Spuren bei anderen Attacken zu verschleiern.
Rechtliche Bedenken bei dreimonatiger IP-Adressspeicherung
Heise Security 23.04.2026 09:38
Nachdem die Bundesregierung ihren neuen Vorschlag zur Vorratsdatenspeicherung auf den Weg gebracht hat, gibt es Kritik von Providern und Datenschützern.
Sicherheitsupdate: Diverse Attacken auf IBM App Connect Enterprise möglich
Heise Security 23.04.2026 09:15
IBMs Integrationsplattform App Connect Enterprise ist verwundbar. Angreifer können an mehreren Schwachstellen ansetzen.
NTFS-Treiber für Linux: NTFS-3G schließt Rechteausweitungslücke
Heise Security 23.04.2026 09:11
Nach rund vier Jahren ist eine neue NTFS-3G-Version erschienen. Sie schließt eine Rechteausweitungslücke und bessert Fehler aus.
China-Linked GopherWhisper Infects 12 Mongolian Government Systems with Go Backdoors
The Hacker News 23.04.2026 09:04
Mongolian governmental institutions have emerged as the target of a previously undocumented China-aligned advanced persistent threat (APT) group tracked as GopherWhisper.
"The group wields a wide array of tools mostly written in Go, using injectors and loaders to deploy and execute various backdoors in its arsenal," Slovakian cybersecurity company ESET said in a report shared with The Hacker
Apple Fixes iOS Flaw That Let FBI Recover Deleted Signal Messages
The Hacker News 23.04.2026 08:06
Apple has rolled out a software fix for iOS and iPadOS to address a Notification Services flaw that stored notifications marked for deletion on the device.
The vulnerability, tracked as CVE-2026-28950 (CVSS score: N/A), has been described as a logging issue that has been addressed with improved data redaction.
"Notifications marked for deletion could be unexpectedly retained on the device,"
iOS 26.4.2: Patch soll Extraktion gelöschter Signal-Mitteilungen unterbinden
Heise Security 23.04.2026 07:56
iOS speicherte zum Löschen markierte Mitteilungen – auch von Krypto-Messengern – in einer auslesbaren Datenbank. Das soll nicht mehr passieren.
VMware Tanzu Spring Security: Angreifer können bösartigen Clients anmelden
Heise Security 23.04.2026 07:50
Aufgrund von Sicherheitsproblemen ist im Kontext von VMware Tanzu Spring Security unter anderem die Authentifizierung umgehbar.
Kritische Lücke in Rubys Standardbibliothek ERB: Angreifer können Code ausführen
Heise Security 23.04.2026 07:44
Die Ruby-Lücke ist nicht einfach auszunutzen, ermöglicht einem Angreifer aber, sensible Daten auszulesen, Code zu starten und Backdoors zu installieren.
Dieses Mal wirklich: iOS-Update löscht gelöschte Benachrichtigungen
Golem 23.04.2026 06:49
Das FBI ist trotz gelöschter Signal-App an alte Chatinhalte auf einem iPhone gelangt. Die neueste iOS-Version soll davor schützen. (Sicherheitslücke, Instant Messenger)
Signal-Angriffs-Warnung: Zweite Frau im Staat wohl Auslöser
Heise Security 23.04.2026 06:39
Julia Klöckner ist offenbar Opfer der Signal-Phishing-Angriffe geworden, vor denen BfV und BSI am Mittwoch erneut gewarnt haben.