Bitwarden CLI 공급망 공격 발생, 개발 환경 보안 점검 필수!

공격자는 Bitwarden CLI의 CI/CD 파이프라인을 악용하여 악성 코드를 삽입했다. 특히, GitHub Actions(자동화된 워크플로우)를 통해 npm 패키지에 접근, 악성 코드를 배포하는 방식을 사용했다. 이는 기존 Checkmarx 공격과 유사한 방식으로, GitHub Actions의 취약점(Vulnerability)을 노린 것이다. 공격자는 GitHub Actions Runner.Worker 메모리 스크래핑을 통해 GitHub 토큰을 탈취했다.

공격으로 인해 GitHub 토큰, AWS/Azure/GCP 자격 증명, SSH 키, npm 설정 파일(.npmrc) 등 다양한 자격 증명이 탈취될 수 있다. 탈취된 자격 증명은 추가적인 공격에 활용될 수 있으며, 특히 npm 토큰 탈취(Token Theft)를 통해 다른 패키지를 감염시킬 수 있다. 또한, 데이터 격리 아키텍처(Data Isolation Architecture)가 미흡한 환경에서는 피해가 더욱 커질 수 있다.

감염된 Bitwarden CLI 패키지를 사용하고 있다면, 즉시 해당 패키지를 제거하고, 노출되었을 가능성이 있는 모든 자격 증명을 로테이션해야 한다. 또한, CI/CD 환경을 면밀히 검토하여 GitHub Actions 워크플로우(Workflow)의 무단 변경 여부를 확인해야 한다. 특히, 데이터 미저장 정책(Zero-Retention Policy)을 준수하지 않는 환경은 추가적인 피해를 입을 수 있다.

악성 코드는 bw1.js 파일에 포함되어 있으며, Checkmarx 공격과 유사한 C2 엔드포인트(audit.checkmarx[.]cx/v1/telemetry)를 사용한다. 또한, Bun v1.3.13 인터프리터(Interpreter)를 활용하여 실행되며, GitHub API(Commit-based) 및 npm 레지스트리(Registry)를 통해 데이터를 유출한다. 특히, AI 환각(Hallucination)을 유발하는 코드와 유사한 특징을 보인다.

댓글에서는 이번 사건을 통해 공급망 공격(Supply Chain Attack)의 심각성을 다시 한번 강조하며, 업계 전반의 보안 수준에 대한 우려를 표명했다. 특히, 오픈 소스(Open Source) 의존성이 증가함에 따라, 이러한 공격의 위험성은 더욱 커지고 있다. 멀티모달 분석(Multimodal Analysis)을 통해 공격을 조기에 탐지하고, GDPR 규제 준수(GDPR Compliance)를 위한 노력이 필요하다는 의견이 제시되었다.