공격자가 만료된 도메인을 구매하여 PyPI 계정을 가로채는 공급망 공격의 일종인 도메인 부활 공격을 방지하기 위해 PyPI는 이제 만료된 도메인을 확인합니다. 이는 만료된 도메인과 연결된 이메일 주소의 인증을 해제하여 계정 보안을 강화합니다. 2025년 6월 초 이후 1800개가 넘는 이메일 주소의 인증이 해제되었습니다. 완벽한 해결책은 아니지만 주요 공격 벡터를 크게 완화합니다. 보안 강화를 위해 사용자는 두 번째로 확인된 이메일 주소를 추가하는 것이 좋습니다.
더 보기
Python 패키지 인덱스(PyPI)는 플랫폼의 지속 가능성과 사용자 경험을 개선하기 위해 조직 계정을 도입했습니다. 이 기능을 통해 팀은 고유한 웹 주소를 가진 자체 관리 계정을 생성할 수 있으며, 여러 하위 팀과 패키지를 관리하는 대규모 프로젝트나 기업의 관리가 간소화됩니다. 커뮤니티 프로젝트는 무료로 사용할 수 있으며, 기업 프로젝트는 소액의 요금이 발생합니다. 모든 수익은 PyPI의 지원 및 인프라 개선에 재투자됩니다. 이는 다운로드 수와 대역폭 증가에 대응하고 더 빠른 응답 시간을 가능하게 합니다. 이 기능은 완전히 선택 사항이며, 기존 사용자에게는 영향을 미치지 않습니다.
더 보기
Python 패키지 인덱스(PyPI)는 지속적인 악성 코드 문제에 대응하기 위해 '프로젝트 격리' 기능을 도입했습니다. 이 기능을 통해 PyPI 관리자는 잠재적으로 유해한 프로젝트에 플래그를 지정하여 사용자의 손쉬운 설치를 방지하고 피해를 줄일 수 있습니다. 프로젝트를 완전히 삭제하는 대신, 간단한 인덱스에서 숨기고 소유자는 프로젝트를 수정할 수 있습니다(하지만 릴리스는 불가능). 관리자는 언제든지 격리를 해제할 수 있습니다. 향후 계획에는 여러 개의 신뢰할 수 있는 보고서를 기반으로 격리를 자동화하여 효율성을 높이고 악성 코드 확산 기회를 줄이는 것이 포함됩니다.
더 보기
Python 프로젝트 Ultralytics가 최근 공급망 공격을 받았습니다. 공격자는 프로젝트의 GitHub Actions 워크플로를 해킹하여 PyPI API 토큰을 훔쳤고, 그 결과 버전 8.3.41, 8.3.42, 8.3.45, 8.3.46이 오염되었습니다. 이 공격은 PyPI의 취약성을 악용한 것이 아니라 GitHub Actions 캐시를 노린 것입니다. PyPI는 신뢰할 수 있는 게시 및 Sigstore 투명성 로그를 활용하여 악성 소프트웨어를 신속하게 식별하고 제거했습니다. 이 사고는 API 토큰과 GitHub 환경 설정의 결함을 드러냈습니다. 이 글에서는 소프트웨어 포지와 빌드/배포 워크플로의 보안 확보 중요성을 강조하고, 개발자를 위한 보안 권장 사항(신뢰할 수 있는 게시자 사용, 종속성 잠금, 안전하지 않은 패턴 회피, 다요소 인증 활성화 등)을 제공합니다.
더 보기