인기 태그:
가상화 DNS 보안 형식적 검증 도달 가능성 분석 C언어 경제 컴파일러 오류 매크로 충돌 웹 확장 기능 개발 프레임워크 모든 태그

악성 PyPI 패키지 Automslc: Deezer 음악 저작권 침해 작전

2025-03-02
악성 PyPI 패키지 Automslc: Deezer 음악 저작권 침해 작전

연구원들은 Deezer로부터의 무단 음악 다운로드를 조정하는 악성 PyPI 패키지 Automslc를 발견했습니다. 10만 회 이상 다운로드된 이 패키지는 하드코딩된 자격 증명과 C2 서버(54.39.49[.]17:8031)를 사용하여 Deezer의 API 제한을 우회하고 전체 트랙을 다운로드하여 Deezer의 서비스 약관을 위반합니다. 여러 계정과 GitHub 프로필을 사용하는 위협 행위자는 분산형 저작권 침해 작전을 조정하고 있으며, 이는 소프트웨어 공급망 보안의 중요성과 개발자 및 조직이 이러한 공격으로부터 자신을 보호해야 할 필요성을 강조합니다.

더 보기
(socket.dev)
기술 API 남용

cURL 및 Go 보안팀, 결함 있는 CVSS 점수 시스템 거부

2025-01-27
cURL 및 Go 보안팀, 결함 있는 CVSS 점수 시스템 거부

cURL 및 Go 보안팀은 취약성 평가에서 공통 취약성 점수 시스템(CVSS)의 결함을 공개적으로 비판하며, 더욱 정확하고 맥락을 고려한 접근 방식을 요구하고 있습니다. CVSS의 일률적인 접근 방식은 수십억 건의 설치를 보유한 cURL과 같은 프로젝트에서 특히 오해의 소지를 불러일으키는 점수를 초래하는 경우가 많습니다. cURL의 개발자인 Daniel Stenberg는 CVSS가 특정 맥락을 고려하지 않기 때문에 점수가 과장되거나 부정확해질 수 있다고 지적했습니다. Go 보안팀도 유사한 의견을 표명하며 맥락 중심의 심각도 평가를 선택했습니다. 이는 CVSS에 대한 불만이 증가하고 있음을 보여주며, 더 나은 대안을 모색하는 움직임으로 이어지고 있습니다. 그러나 이러한 맥락 중심의 접근 방식은 유지 관리 담당자가 모든 사용 사례를 정확하게 평가하는 데 어려움을 겪기 때문에 과제에 직면하고 있습니다. 또한 보안 연구원과 오픈소스 유지 관리 담당자 간의 문화적 갈등으로 인해 문제가 더욱 복잡해지고 있습니다. 연구원들은 인정을 추구하고, 유지 관리 담당자들은 실제 영향에 집중하고 있습니다. NVD의 백로그 문제 또한 상황을 악화시키고 있습니다.

더 보기
(socket.dev)
개발 오픈소스 보안 취약성 평가