Supply Chain Attack 통한 Jenkins Plugin 변조 및 Secret 유출 사고

Context

CI/CD 파이프라인 보안 스캔을 위해 Jenkins Marketplace에서 제공하는 AST Scanner Plugin을 사용하는 신뢰 모델 기반의 아키텍처임. 공격 그룹 TeamPCP가 Checkmarx의 내부 Secret 관리 허점을 이용하여 변조된 플러그인 버전을 배포함으로써 파이프라인 전체의 신뢰 체계가 무너진 상황임.

Technical Solution

• Trust Model 기반의 Jenkins Plugin 배포 체계를 이용한 악성 코드 주입
• Shai-Hulud 웜 기반의 Self-propagating 메커니즘을 통한 npm 패키지 및 리포지토리 확산
• Secret Rotation 미흡을 통한 지속적 접근 권한(Persistence mechanism) 확보 및 재침투
• 변조된 버전의 Plugin을 통해 Source Code, Environment Variables, Token 등 런타임 Secret 탈취 시도
• 정상 버전(2.0.13-829.vc72453fa_1c16)으로의 강제 롤백 및 신규 보안 버전 배포를 통한 무결성 회복