Trivy-KICS-Bitwarden을 잇는 Supply Chain Attack으로 인한 대규모 Credential 유출

Ongoing supply-chain attack 'explicitly targeting' security, dev tools

Jessica Lyons2026년 4월 27일4분advanced

AI 요약

Context

신뢰 기반의 Security Tool 및 CI/CD Pipeline을 타겟으로 한 고도화된 Supply Chain Attack 발생. 개발 환경의 High-privileged 권한을 가진 도구들이 공격자의 침투 경로 및 데이터 유출 Choke point로 활용된 사례.

Technical Solution

Trivy CI/CD Secrets 탈취를 통한 초기 진입 및 개발자 머신 내 Persistent Backdoor 설치
KICS Docker Hub 공식 Repository 내 Poisoned Image 배포를 통한 Binary 변조
변조된 Binary를 통한 Scan Report 암호화 및 외부 Endpoint로의 데이터 Exfiltration 로직 삽입
GitHub Actions 및 Open VSX Plugins 침투를 통한 개발 워크플로우 제어권 확보
탈취한 API Key 및 Cloud Credentials를 활용하여 Bitwarden CLI 등 하위 생태계로 공격 범위 확장
TeamPCP, Lapsus$ 등 공격 그룹 간의 협력을 통한 데이터 덤프 및 Ransomware 캠페인 연계

실천 포인트

1. CI/CD Secrets의 주기적 Rotation 및 하드코딩 금지 검토

2. 공식 Image 사용 시 Hash 기반의 고정 버전(Digest) 참조 및 이미지 서명 검증

3. Security Tool 및 Plugin에 부여된 Cloud/GitHub 권한의 과잉 할당 여부 전수 조사

4. Outbound 트래픽 모니터링을 통한 비정상적인 데이터 Exfiltration 경로 탐지

태그

#Credential Theft #Least Privilege #Supply Chain Attack #CI/CD Security #Poisoned Image

원문 읽기