보안업체 Checkmarx·Bitwarden 공급망 공격 피해
원제: Why a recent supply-chain attack singled out security firms Checkmarx and Bitwarden
왜 중요한가
보안업체 자체가 공급망 공격 표적이 되어 고객 보안에 심각한 위험을 초래하는 사례
보안업체 Checkmarx가 3월 19일 Trivy 취약점 스캐너 공급망 공격으로 시작해 40일간 연속 피해를 입었다. 해커그룹 TeamPCP가 GitHub 계정을 탈취해 고객에게 악성코드를 배포했으며, Bitwarden도 같은 공격으로 피해를 입었다.
보안업체 Checkmarx가 3월 19일부터 40일간 연속 사이버공격 피해를 입었다고 발표했다. 공격은 취약점 스캐너 Trivy의 GitHub 계정 침해로 시작됐으며, 해커들이 이를 통해 Checkmarx를 포함한 Trivy 사용자들에게 악성코드를 배포했다. 악성코드는 감염된 시스템에서 리포지토리 토큰, SSH 키, 인증정보를 수집했다. 3월 23일 Checkmarx의 GitHub 계정이 침해돼 고객들에게 악성코드가 배포됐고, 회사가 문제를 해결했다고 발표했으나 4월 22일 재차 악성코드가 배포됐다. 보안업체 Socket에 따르면 같은 시점 Checkmarx Docker Hub 리포지토리도 악성 패키지를 배포했다. 월요일 Checkmarx는 랜섬웨어 그룹 Lapsu$가 지난주 다크웹에 회사 내부 데이터를 유출했다고 밝혔다. 유출 데이터의 날짜가 3월 30일로 표시돼 있어 3월 23일 침해 발견 후에도 공격자들이 접근권한을 유지했던 것으로 보인다. 비슷한 공격으로 보안업체 Bitwarden도 4월 22일 오후 5시 57분부터 7시 30분까지 악성 패키지가 배포됐다.