Vertrauen missbraucht: Verseuchtes Bitwarden-Tool stiehlt Zugangsdaten

Vertrauen ist das Fundament jedes Passwortmanagers. Wenn wir unsere gesamte digitale Identität in einen Tresor legen, gehen wir davon aus, dass die Tür absolut dicht ist. Doch was passiert, wenn die Hacker nicht den Tresor selbst knacken, sondern uns eine gefälschte Tür unterjubeln?

Genau das erleben wir gerade bei Bitwarden. Angreifer haben es geschafft, Schadcode in ein Tool einzuschleusen, das eigentlich unsere Sicherheit garantieren soll.

Was ist passiert?

Sicherheitsforscher haben eine alarmierende Entdeckung gemacht: Auf der Entwicklerplattform GitHub kursieren manipulierte Versionen des Bitwarden Desktop-Installers. Hacker haben sich den Open-Source-Charakter von Bitwarden zunutze gemacht, den Code kopiert (ein sogenannter Fork) und mit gefährlicher Malware gespickt.

Diese infizierten Versionen sehen für das ungeschulte Auge täuschend echt aus, haben aber nur ein Ziel: den Diebstahl sensibler Daten. Besonders perfide ist, dass diese Links oft über Suchmaschinen oder zwielichtige Drittanbieter-Seiten verbreitet werden, um ahnungslose Nutzer in die Falle zu locken.

Technisch gesehen handelt es sich um eine klassische Supply-Chain-Attacke auf Client-Ebene. 

Bitwarden selbst – also die Infrastruktur und die offiziellen Server – wurde nach aktuellem Stand nicht gehackt. Das Problem liegt in der Verteilung der Software. Die Angreifer nutzen eine Schadsoftware vom Typ Information Stealer. Sobald wir die infizierte Desktop-App installieren und uns mit unserem Master-Passwort anmelden, greift die Malware im Hintergrund zu.

Sie liest nicht nur die Zugangsdaten aus dem Arbeitsspeicher aus, sondern kann unter Umständen auch den lokalen verschlüsselten Tresor (die Vault-Datenbank) abgreifen, bevor die Verschlüsselung greift. Damit umgehen die Hacker die eigentlich starke AES-256-Bit-Verschlüsselung, indem sie direkt an der Quelle – unserer Tastatureingabe – ansetzen.

Für uns Nutzer ist diese Nachricht ein massiver Warnschuss.

Es zeigt, dass wir uns nicht blind auf die Marke verlassen dürfen, sondern die Download-Quelle penibel prüfen müssen. Wer die offizielle Webseite nutzt, ist weiterhin sicher. Der "Vorteil" dieser Entdeckung ist lediglich die erhöhte Aufmerksamkeit:

Wir lernen wieder, dass Open Source zwar sicher ist, weil jeder den Code prüfen kann, aber eben auch Angreifern die Vorlage liefert, um perfekte Kopien zu erstellen.

Welche Nachteile oder Risiken gibt es?

Das größte Risiko ist der totale Identitätsverlust. Wenn das Master-Passwort in die Hände von Hackern fällt, ist das der digitale Super-GAU. Da Bitwarden oft alle Passwörter inklusive 2FA-Seeds speichert, haben die Angreifer sofort Zugriff auf E-Mails, Bankkonten und soziale Medien.

Ein weiterer Nachteil ist der Vertrauensverlust in das Ökosystem. Viele Nutzer könnten nun verunsichert sein und zu weniger transparenten, proprietären Lösungen wechseln, was die Sicherheit langfristig eher schwächt.

Zudem ist es für Laien auf Plattformen wie GitHub oft schwer zu unterscheiden, welcher Repository-Pfad nun das Original von bitwarden/desktop ist und welcher eine bösartige Kopie.

Fazit

Wir finden: Die Masche ist extrem gefährlich, weil sie dort ansetzt, wo wir uns am sichersten fühlen. Microsoft und GitHub versuchen zwar, solche Repositories schnell zu löschen, aber die Hacker sind meist einen Schritt voraus.

Unser Rat bei VZC System ist eindeutig: Installiert Bitwarden ausschließlich über die offizielle Webseite bitwarden.com oder die offiziellen App-Stores von Apple und Google.

Finger weg von Links in Foren oder unbekannten GitHub-Projekten, auch wenn sie noch so professionell aussehen. Ein Passwortmanager ist nur so sicher wie der Weg, auf dem er auf euren Rechner kommt.