Bitwarden CLI의 npm 배포 채널이 2026년 4월 22일 오후 5시 57분부터 7시 30분(ET)까지 악성 패키지(@bitwarden/cli 2026.4.0)에 의해 잠시 침해되었다. 이 패키지는 자격 증명 탈취 기능을 포함하고 있었으며, Socket, JFrog, OX Security에 따르면 해당 기간 동안 npm을 통해 배포되었다. Bitwarden은 이번 사건이 npm 배포 채널에 한정되었으며, 악성 버전을 다운로드한 사용자만 영향을 받았다고 밝혔다.
조사 결과, 최종 사용자 금고 데이터나 생산 시스템에는 접근 흔적이 없었으며, 문제 발견 즉시 악성 릴리스를 폐기하고 접근 권한을 회수하는 등 신속한 대응이 이루어졌다. 공격자는 Bitwarden의 CI/CD 파이프라인 내 GitHub Action을 악용해 악성 코드를 삽입한 것으로 보인다. 악성 패키지는 Bun 런타임을 활용해 bw1.js라는 난독화된 자바스크립트 파일을 실행, 시스템 내 다양한 비밀 정보를 수집하고 이를 암호화해 피해자의 GitHub 계정에 공개 저장소를 생성, 데이터를 유출했다.
이 악성코드는 npm 자격 증명을 이용해 추가 패키지에 악성 코드를 전파하는 등 자기 복제 기능도 갖추고 있었다. 이번 공격은 최근 Checkmarx의 공급망 침해와 유사점이 발견되었으며, 두 공격 모두 TeamPCP라는 위협 그룹과 연관된 것으로 분석된다. 영향을 받은 개발자는 모든 노출된 자격 증명을 즉시 교체하고, 특히 CI/CD 파이프라인 및 클라우드 환경의 보안을 강화해야 한다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.