비트워든 CLI, 공급망 공격으로 악성코드 감염...체크마릭스 캠페인으로 GitHub 토큰·클라우드 인증 정보 탈취
2026년 4월 25일
2분
1000만 사용자를 보유한 비트워든의 CLI 패키지가 공급망 공격을 받아 개발자 인증 정보를 탈취하는 악성코드에 감염됐다.
[한국정보기술신문] 패스워드 관리 서비스 비트워든의 명령행 인터페이스 패키지가 정교한 공급망 공격을 받아 악성코드에 감염된 사실이 24일 확인됐다. 보안업체 소켓의 연구팀이 발견한 이번 사건은 '체크마릭스 공급망 캠페인'의 일환으로 분석됐다.
CI/CD 파이프라인 침투
공격자들은 비트워든 CLI 버전 2026.4.0에서 회사의 지속적 통합 및 배포 파이프라인을 악용했다. 연구팀에 따르면 "공격자들이 비트워든의 CI/CD에서 GitHub 액션의 취약점을 악용해 npm 패키지에 악성 코드를 주입했다"고 밝혔다.
악성코드는 패키지 내 'bw1.js' 파일에 삽입됐으며, 다른 체크마릭스 캠페인 구성 요소들과 동일한 인프라를 공유하고 있었다. 특히 같은 명령제어 엔드포인트인 'audit.checkmarx.cx/v1/telemetry'를 활용하고 유사한 인증 정보 수집 기법을 사용했다.
포괄적 정보 탈취 시도
감염된 악성코드는 개발 환경에서 광범위한 민감 정보를 표적으로 삼았다. 메모리 스크래핑을 통한 GitHub 토큰 탈취를 비롯해 AWS, 애저, 구글 클라우드 플랫폼의 클라우드 인증 정보도 수집 대상에 포함됐다. 또한 npm 설정 파일과 SSH 키, CI/CD 시크릿과 환경 변수까지 노리는 것으로 확인됐다.
특히 주목할 점은 악성코드의 지속성 확보 방식이다. 연구팀은 "악성코드가 지속성을 위해 ~/.bashrc와 ~/.zshrc에 페이로드를 주입한다"고 설명했다. 이는 시스템 재부팅 후에도 악성 행위를 계속할 수 있도록 하는 고도화된 기법이다.
이념적 색채 포함
흥미롭게도 이번 공격에는 독특한 특성이 발견됐다. 악성코드에는 공상과학 소설 '듄'을 테마로 한 저장소 이름과 '버틀러리안 지하드' 선언문과 같은 이념적 참조가 포함되어 있었다. 보안 전문가들은 이것이 별개의 공격자를 의미하거나 캠페인의 진화를 나타낼 수 있다고 분석했다.
제한적 영향 범위
다행히 이번 침해의 영향은 제한적이다. 비트워든 측은 "비트워든의 크롬 확장 프로그램, MCP 서버, 그리고 다른 정당한 배포판들은 아직 영향을 받지 않았다"고 확인했다. 오직 npm 패키지로 배포되는 비트워든 CLI만이 감염된 상황이다.
그럼에도 비트워든이 전 세계적으로 1000만 명 이상의 사용자를 보유하고 있다는 점에서 잠재적 파급력은 상당하다. 특히 CLI를 사용하는 개발자들의 경우 민감한 개발 환경 정보가 노출될 위험이 크다.
긴급 대응 조치 필요
보안 전문가들은 조직들에게 즉각적인 대응을 촉구하고 있다. 우선 감염된 패키지를 즉시 제거하고 노출된 모든 인증 정보를 교체해야 한다. 여기에는 GitHub 토큰, npm 토큰, 클라우드 인증 정보 등이 포함된다.
또한 저장소에서 승인되지 않은 변경 사항이 있는지 감사하고, 악성 인프라로의 의심스러운 아웃바운드 연결과 셸 프로필 수정 등 의심스러운 지표를 찾아내야 한다고 권고했다.
이번 사건은 오픈소스 생태계의 공급망 보안이 얼마나 취약한지를 다시 한번 보여주는 사례다. 신뢰받는 패키지조차 정교한 공격에 노출될 수 있음을 경고하고 있다.
한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org
