AI 요약
Socket Research Team은 2026년 4월 22일, Bitwarden CLI와 관련된 심실한 보안 침해를 확인했습니다. 이번 사고는 공식 KICS(Keeping Infrastructure as Code Secure) Docker 리포지토리 및 코드 확장 프로그램에 악성 Checkmarx 아티팩트가 삽입된 광범위한 공급망 공격의 결과입니다. 공격자들은 Namastex.ai npm 패키지를 통해 데이터 유출 및 자가 증식 기능을 가진 'TeamPCP' 스타일의 CanisterWorm 악성코드를 배포했습니다. 또한, 동일한 명령 및 제어(C2) 인프라를 사용하는 108개의 Chrome 확장 프로그램이 사용자 세션을 탈취하고 브라우저에 백도어를 설치하는 등 대규모 조직적 공격을 수행한 것으로 드러났습니다. 이는 개발 환경과 클라우드 인프라 코드의 신뢰성을 직접적으로 겨냥한 보안 위협으로 평가됩니다.
핵심 인사이트
- 공격 일시 및 탐지: 2026년 4월 22일, Socket 연구팀이 공식 KICS Docker 리포지토리에서 악성 이미지와 의심스러운 코드 확장 프로그램을 탐지하여 보고함.
- 주요 공격 도구: 데이터 탈취와 자가 복제를 수행하는 'TeamPCP' 스타일의 CanisterWorm이 Namastex.ai npm 패키지에 포함됨.
- Chrome 확장 프로그램 연루: 공통된 C2 인프라를 공유하는 108개의 Chrome 확장 프로그램이 사용자 식별 정보 수집 및 백도어 추가에 활용됨.
- 공급망 타격: Bitwarden CLI와 같은 신뢰받는 도구들이 이번 정교한 공급망 침해 캠페인의 영향권에 포함됨.
주요 디테일
- KICS 이미지 오염: 공격자는 공식 Docker 리포지토리에 악성 Checkmarx KICS 이미지를 업로드하여 인프라 관리 도구를 사용하는 개발자를 직접 공격함.
- npm 패키지 감염 수법: Namastex.ai npm 패키지는 'CanisterWorm'이라는 기법을 사용하여 시스템 내 데이터 유출은 물론, 네트워크를 통한 자기 전파 기능을 탑재함.
- 조직적 C2 인프라: 탐지된 108개의 확장 프로그램은 모두 동일한 C2 서버 인프라를 사용하고 있어, 개별 공격이 아닌 거대 조직의 캠페인임을 입증함.
- 데이터 유출 범위: 사용자 계정 세션 탈취, 브라우저 백도어 설치, 기밀 데이터 유출 등 다각도로 보안 위협이 전개됨.
- 협력 대응: Socket과 Docker는 공동 조사를 통해 악성 아티팩트들을 식별하고 관련 사용자들에게 주의를 당부함.
향후 전망
- 공식 저장소 신뢰성 강화: 오픈소스 및 Docker 공식 리포지토리에 대한 무결성 검증과 보안 모니터링이 더욱 엄격해질 것으로 예상됨.
- 공급망 공격의 진화: 공격 기법이 단순한 악성 코드 삽입을 넘어 자가 증식형 웜 형태로 진화함에 따라, 개발 환경의 보안 솔루션 도입이 가속화될 것임.
출처:hackernews