PANewsは4月24日、SlowMistの最高情報セキュリティ責任者である23pdsがBitwardenセキュリティチームから転送した通知によると、Checkmarxサプライチェーン攻撃により、Bitwarden CLIのバージョン2026.4.0が4月22日午後5時57分から午後7時30分（米国東部時間）の間にnpm経由で悪意のあるパッケージとしてリリースされたと報じた。影響を受けたのは、この時間帯にnpm経由でインストールしたユーザーのみ。公式には、Vaultデータが漏洩しておらず、本番システムが侵害されていないことが確認されている。影響を受けたユーザーは、バージョン2026.4.0を直ちにアンインストールし、npmキャッシュをクリアし、APIトークンやSSHキーなどの機密性の高い認証情報をローテーションし、GitHubとCIで異常なアクティビティがないか確認し、バージョン2026.4.1にアップグレードすることが推奨される。