Bitwarden CLI가 공급망 공격으로 해킹당해
원제: Bitwarden CLI compromised in ongoing Checkmarx supply chain campaign
왜 중요한가
1000만 명이 사용하는 주요 패스워드 매니저의 해킹으로 대규모 보안 피해 우려
Socket 연구진이 Bitwarden CLI 2026.4.0 버전이 Checkmarx 공급망 캠페인의 일환으로 해킹당했다고 발표했다. 공격자들은 Bitwarden의 CI/CD 파이프라인에서 GitHub Action을 악용해 bw1.js 파일에 악성 코드를 주입했다. 1000만 명 이상이 사용하는 오픈소스 패스워드 매니저가 피해를 입었다.
Socket 보안 연구팀은 오픈소스 패스워드 매니저 Bitwarden의 CLI 도구가 진행 중인 Checkmarx 공급망 공격 캠페인에 의해 해킹당했다고 발표했다. Bitwarden은 1000만 명 이상의 사용자와 5만 개 이상의 기업이 사용하며 기업 패스워드 매니저 점유율 상위 3위 안에 드는 서비스다. 해킹된 패키지는 @bitwarden/cli 2026.4.0 버전으로, bw1.js 파일에 악성 코드가 포함되었다. 공격자들은 Bitwarden의 CI/CD 파이프라인에서 GitHub Action을 악용해 공격을 수행했다. 악성 페이로드는 Checkmarx 캠페인의 다른 공격과 동일한 C2 엔드포인트(audit.checkmarx.cx/v1/telemetry)를 사용하며, GitHub Actions Runner.Worker를 대상으로 메모리에서 토큰을 탈취한다. 또한 AWS, Azure, GCP 등 클라우드 서비스 자격증명과 SSH 키, npm 토큰 등을 수집해 GitHub API와 npm 레지스트리를 통해 유출한다. 공격 코드는 러시아 로케일을 감지하면 실행을 중단하는 킬 스위치도 포함하고 있다. 현재까지는 npm 패키지만 영향을 받았으며 Chrome 확장프로그램과 다른 정식 배포판은 아직 안전하다고 밝혔다.