npm 패키지의 provenance 배지를 확인하고 안심했던 적 있는가? 5월 11일, 그 안심이 환상이었음을 증명한 공격이 터졌다.
올해 1분기, GitHub Actions 생태계가 연쇄 공급망 공격에 휘말렸다. tj-actions/changed-files 사고로 23,000개 리포지토리가 피해를 입었고, 3월에는 Trivy 액션 태그 76개 중 75개가 force-push로 오염됐다.
3월 19일 새벽, 전 세계 수천 개 CI 파이프라인에서 Trivy가 조용히 돌고 있었다. 코드를 스캔해서 취약점을 잡아주는 도구다.
금요일 밤 npm에서 시작된 게 일요일 아침엔 Docker Hub까지 번져 있었다. 48시간 동안 세 패키지 레지스트리에서 악성 패키지가 동시에 터졌고, 셋 다 노린 건 같은 거였다 — 크레덴셜.
4월 셋째 주는 npm 생태계에게 최악의 한 주였다. 월요일부터 수요일까지 48시간 동안 세 건의 공급망 공격이 연달아 터졌다.
운영 중인 컨테이너 이미지에 CVE가 몇 개 박혀 있는지 마지막으로 확인해본 게 언제인가. Docker Scout 돌려보면 대부분 놀란다.
3월 19일 오후 6시 24분(UTC). 전 세계 수천 개 CI/CD 파이프라인에서 docker pull aquasec/trivy:latest가 실행됐다.