Bitwarden CLI npm 패키지 하이재킹 – 개발자 인증정보 대규모 탈취 공격 발견

Context

정상적인 npm 패키지인 @bitwarden/cli의 배포 파이프라인 외부에 악성 레이어를 씌운 Supply Chain Attack 발생. 정상 메타데이터를 유지하며 preinstall 스크립트와 바이너리 진입점을 변조하여 탐지를 우회하는 구조 설계.

Technical Solution

• Bun 런타임 동적 다운로드 및 실행을 통한 Node.js 기반 정적 분석 및 탐지 도구 우회
• File System, Shell/Env, GitHub Actions의 3단계 수집기를 통한 SSH 키, AWS/GCP 자격 증명 및 AI 도구(Claude/Kiro) 설정 파일 광범위 추출
• AES-256-GCM 및 RSA-OAEP 하이브리드 암호화를 적용한 탈취 데이터의 기밀성 및 무결성 확보
• 보안 서비스 위장 도메인(HTTPS POST)과 GitHub 커밋 메시지 마커를 활용한 1, 2차 이중 데이터 유출 경로 구축
• RSA 서명 검증 기반의 대체 유출 도메인 동적 복구 메커니즘을 통한 C2 서버 가용성 유지
• 피해자 GitHub 계정 내 신규 레포지토리 생성을 통한 암호화 JSON 결과물 업로드 방식의 은밀한 데이터 적재