93분간의 CI/CD 파이프라인 침투를 통한 npm 공급망 공격 및 신뢰 기반 배포 메커니즘 무력화

Context

npm Trusted Publishing 도입으로 장기 토큰 기반의 배포 리스크를 제거한 강화된 CI/CD 아키텍처 환경. 하지만 배포 메커니즘 자체가 아닌 상위 단계인 GitHub Actions 워크플로우의 취약점을 통한 공급망 공격 발생.

Technical Solution

• 유출된 자격 증명을 활용하여 GitHub Actions 워크플로우 내 악성 코드 주입
• npm Trusted Publishing의 신뢰 관계를 악용하여 정식 릴리스 버전(@bitwarden/cli@2026.4.0)에 bw1.js 페이로드 포함
• 설치 단계에서 GitHub/npm 토큰, SSH Key, 환경 변수 등 민감 데이터를 수집하는 Credential Harvester 작동
• AES-256-GCM 암호화를 적용하여 보안 업체(Checkmarx) 사칭 도메인으로 데이터 유출
• 탈취한 GitHub 토큰을 통해 타 리포지토리에 악성 워크플로우를 재주입하는 다단계 전파 구조 설계

Impact

• 93분(17:57~19:30 ET) 동안의 악성 패키지 배포 및 노출
• @bitwarden/cli@2026.4.0 버전 설치 환경의 모든 시크릿 유출 위험 발생

Key Takeaway

배포 도구의 보안 강화(Trusted Publishing)보다 상위 단계인 빌드 파이프라인(CI/CD Workflow)의 무결성 검증이 우선되어야 하는 아키텍처적 우선순위 확인.