Checkmarx·Bitwarden 겨냥 공급망 공격 발생
원제: Why a recent supply-chain attack singled out security firms Checkmarx and Bitwarden
왜 중요한가
보안업체를 겨냥한 연쇄 공급망 공격으로 업계 전반의 보안 리스크가 확산되고 있다.
보안업체 Checkmarx가 지난 40일간 공급망 공격과 랜섬웨어 공격을 연속으로 당했다. 공격자들은 취약점 스캐너 Trivy를 해킹해 Checkmarx와 Bitwarden의 GitHub 계정을 침해했으며, 이후 Lapsu$ 그룹이 데이터를 유출했다.
보안업체 Checkmarx가 연쇄적인 사이버 공격에 노출됐다. 3월 19일 TeamPCP 그룹이 취약점 스캐너 Trivy의 GitHub 계정을 해킹하며 시작된 공급망 공격으로 Checkmarx가 피해를 입었다. 공격자들은 감염된 시스템에서 저장소 토큰, SSH 키 등 인증정보를 수집하는 악성코드를 배포했다. 4일 후 Checkmarx의 GitHub 계정이 침해되어 고객들에게 악성코드를 배포했다. 회사는 침해를 차단하고 복구 작업을 진행했지만, 4월 22일 다시 새로운 악성코드가 배포되어 완전한 복구가 이뤄지지 않았음이 드러났다. 보안업체 Socket에 따르면 Checkmarx의 Docker Hub 저장소에서도 악성 패키지가 발견됐다. 월요일 Checkmarx는 Lapsu$ 랜섬웨어 그룹이 지난주 다크웹에 회사의 개인 데이터를 유출했다고 발표했다. 유출된 데이터의 날짜는 3월 30일로, 공격자들이 3월 23일 침해 발견 이후에도 GitHub 계정 접근을 유지했음을 시사한다. 같은 공급망 공격으로 또 다른 보안업체 Bitwarden도 피해를 입었다. Socket은 동일한 C2 엔드포인트와 핵심 인프라를 사용한 점을 근거로 Bitwarden 침해를 Trivy 캠페인과 연관시켰다.