CI/CD Pipeline 침투를 통한 Bitwarden CLI 공급망 공격 및 자격 증명 탈취

Context

GitHub Action의 보안 취약점을 악용한 Supply Chain 공격으로 Bitwarden CLI npm 패키지가 오염된 상황. CI/CD 파이프라인 내 권한 관리 미흡으로 인해 공격자가 패키지 빌드 및 배포 프로세스에 직접 개입한 구조적 결함 노출.

Technical Solution

• GitHub Actions Runner.Worker 메모리 스크래핑을 통한 GitHub Token 및 환경 변수 탈취 로직 구현
• .aws/ 파일, gcloud config, azd 등 클라우드 제공사별 자격 증명 저장소 탐색 및 Exfiltration 수행
• Bun v1.3.13 인터프리터를 통한 bw1.js 페이로드 실행으로 탐지 회피 및 다중 인스턴스 실행 방지
• npm preinstall hook 주입을 통한 패키지 설치 단계에서의 악성 코드 자동 실행 구조 설계
• victim 계정 내 Dune-themed 명명 규칙을 가진 Public Repository 생성 후 암호화된 데이터 Commit 방식의 C2 통신 구현
• Intl.DateTimeFormat().resolvedOptions().locale 검사를 통한 특정 국가(ru) 환경 실행 제외 로직 포함