Bitwarden CLI Typosquatting을 통한 CI/CD Secrets 유출 및 Supply Chain Attack 분석

Bitwarden CLI Compromised: What Developers Need to Know About the Ongoing Checkmarx Supply Chain Attack

Landlight2026년 4월 24일8분intermediate

AI 요약

Context

Bitwarden CLI의 자동화 워크플로우 신뢰도를 악용한 Supply Chain Attack 발생. npm 패키지 관리자의 모듈 이름 해석 방식을 이용해 정식 패키지로 위장한 Typosquatting 및 Dependency Confusion 전략을 사용한 설계임.

Technical Solution

정식 네임스페이스와 유사한 @bitwarden/cli 변종 패키지를 public registry에 배포하여 설치 유도
package.json의 postinstall 스크립트를 통해 패키지 설치 직후 악성 node.js 페이로드 자동 실행
os 및 process.env 모듈을 이용해 BW_SESSION, AWS_ACCESS_KEY 등 호스트 환경 변수 및 Secrets 무단 수집
수집된 데이터를 HTTPS POST 요청을 통해 공격자 제어 C2 서버로 전송하는 Exfiltration 구조 설계
탈취한 토큰을 활용해 클라우드 인프라 및 소스 리포지토리에 접근하는 Lateral Movement 수행

실천 포인트

- npm install 대신 package-lock.json을 엄격히 준수하는 npm ci 사용 - 신뢰할 수 없는 의존성 설치 시 --ignore-scripts 옵션 적용하여 postinstall 실행 차단 - Private Registry 도입 및 패키지 Allowlisting을 통한 외부 모듈 유입 통제 - CI/CD Secrets의 Scope를 최소화하여 필요한 단계에서만 노출되도록 설정 - PR 워크플로우 내 Dependency Review 프로세스 강제화

태그

#Exfiltration #Supply Chain Attack #Typosquatting #CI/CD Security #Dependency Confusion

원문 읽기