Bitwarden CLI 컴프로마이즈 분석: 공급망 공격 대응 가이드
요약
Socket 연구팀은 Bitwarden CLI의 npm 패키지(@bitwarden/cli2026.4.0)가 진행 중인 Checkmarx 공급망 공격 캠페인의 일환으로 손상되었음을 발견했습니다. 이 공격은 Bitwarden CI/CD 파이프라인 내 GitHub Action을 악용했으며, 악성 페이로드(bw1.js)는 민감한 정보 유출 및 시스템 거버넌스 변경을 시도합니다. 사용자는 즉시 해당 패키지를 제거하고, 노출되었을 수 있는 모든 비밀번호(GitHub 토큰, npm 토큰 등)를 교체해야 합니다. 또한, CI/CD 환경과 엔드포인
핵심 포인트
- 공격 대상은 Bitwarden CLI의 특정 버전(@bitwarden/cli2026.4.0)이며, 악성 코드는 패키지 내 파일 bw1.js를 통해 삽입되었습니다.
- 이 공격은 Bitwarden CI/CD 파이프라인의 GitHub Action을 악용하여 발생했으며, Checkmarx 공급망 캠페인의 일환으로 진행되고 있습니다.
- 사용자는 즉시 해당 npm 패키지를 제거하고, GitHub 토큰, npm 토큰, 클라우드 자격 증명 등 모든 비밀 정보를 교체해야 합니다.
- 엔드포인트에서는 아웃바운드 연결(audit.checkmarx.cx)과 셸 프로파일 수정(~/.bashrc, ~/.zshrc), 그리고 임시 파일 생성(/tmp/tmp.987654321.lock) 등을 점검해야 합니다.
- 장기적인 방어책으로 토큰 범위 제한(scope locking), 단명 자격 증명 사용 의무화, GitHub Actions 권한 강화 등이 필요합니다.
최근 발견된 Bitwarden CLI 컴프로마이즈 사건은 소프트웨어 공급망 공격(Supply Chain Attack)의 심각성을 다시 한번 보여줍니다. Socket 연구팀에 따르면, 오픈 소스 비밀번호 관리자인 Bitwarden CLI의 npm 패키지 버전 @bitwarden/cli2026.4.0가 악성 코드에 감염되었습니다. 이는 더 광범위한 Checkmarx 공급망 캠페인의 일부로 진행된 것으로 파악됩니다.
🔍 공격 메커니즘 및 피해 범위
공격자들은 Bitwarden의 CI/CD 파이프라인 내 GitHub Action을 악용하여 패키지에 악성 코드(bw1.js)를 삽입했습니다. 이 페이로드는 단순히 정보를 탈취하는 것을 넘어, 시스템 깊숙한 곳까지 영향을 미치려는 복합적인 공격 패턴을 보입니다.
주요 위협 요소:
- 정보 유출 (Exfiltration): 악성 코드는
audit.checkmarx.cx/v1/telemetry와 같은 엔드포인트로 데이터를 전송하며, GitHub API(커밋 기반) 및 npm 레지스트리(토큰 탈취/재게시)를 통해서도 정보를 유출합니다. - 시스템 변조: 페이로드에는
~/.bashrc와~/.zshrc같은 셸 프로파일을 수정하고,/tmp/tmp.987654321.lock과 같은 잠금 파일을 생성하는 행위가 포함되어 있어, 시스템의 영구적인 변조를 시도했음을 보여줍니다. - 이념적 브랜딩: 이 공격은 단순히 금전적 목적을 넘어선 듯한 '저항'이라는 이념적 메시지(예:
AI 자동 생성 콘텐츠
본 콘텐츠는 HN AI Posts의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기