TechFlow 보도에 따르면, 4월 24일 SlowMist의 최고정보보안책임자(CISO)인 23pds(@im23pds)가 공개한 바에 따르면, 비밀번호 관리 도구 Bitwarden CLI 버전 2026.4.0이 4월 22일 미국 동부 시간 기준 오후 5시 57분부터 오후 7시 30분까지 Checkmarx 공급망 공격을 받았다. 공격자는 Bitwarden의 CI/CD 파이프라인 내 GitHub Action을 악용하여 악성 패키지를 npm을 통해 일시적으로 배포하였다. 공식 발표에 따르면, Vault 데이터 유출은 없었으며 프로덕션 시스템에도 영향을 주지 않았다. 다만 해당 시간대에 npm을 통해 이 버전을 설치한 사용자만 영향을 받았다. 공식 측은 피해를 입은 사용자에게 즉시 버전 2026.4.0을 제거하고, npm 캐시를 정리하며, API 토큰 및 SSH 키 등 민감한 인증 정보를 갱신하고, GitHub 및 CI 환경에서 이상 활동을 점검한 후, 수정된 버전 2026.4.1로 업그레이드할 것을 권고하였다.
즐겨찾기 추가
소셜 미디어 공유
