인기 태그:
가상화 DNS 보안 형식적 검증 도달 가능성 분석 C언어 경제 컴파일러 오류 매크로 충돌 웹 확장 기능 개발 프레임워크 모든 태그

긴급 경고: NPM 에코시스템 대규모 공급망 공격 발생

2025-09-16
긴급 경고: NPM 에코시스템 대규모 공급망 공격 발생

인기 있는 @ctrl/tinycolor 패키지(주간 다운로드 200만 회 이상)를 포함한 40개 이상의 npm 패키지가 정교한 공급망 공격을 받아 해킹당했습니다. 공격자는 자체 전파 메커니즘을 사용하여 다운스트림 종속성에 감염시켜 연쇄적인 손상을 초래했습니다. 페이로드는 Webpack으로 번들된 스크립트로, AWS, GCP, GitHub 등의 클라우드 자격 증명과 민감한 정보를 훔치고 GitHub Actions를 통해 영구적인 백도어를 구축합니다. 이 공격으로 광범위한 자격 증명 도난이 발생했습니다. 영향을 받은 패키지를 확인하고 모든 자격 증명을 회전해야 합니다.

더 보기
(www.stepsecurity.io)
개발

GitHub Actions 악성 코드 삽입: tj-actions/changed-files 침해

2025-03-15
GitHub Actions 악성 코드 삽입: tj-actions/changed-files 침해

23,000개 이상의 저장소에 영향을 미치는 tj-actions/changed-files GitHub Action에서 심각한 보안 사고가 발생했습니다. 공격자는 여러 버전 태그를 악의적인 커밋을 가리키도록 역으로 수정하여 공개된 빌드 로그에 CI/CD 시크릿을 공개했습니다. StepSecurity Harden-Runner가 이러한 이상을 감지했습니다. 손상된 액션은 Runner Worker 프로세스에서 시크릿을 덤프하는 악성 Python 스크립트를 실행합니다. 즉시 조치를 취해야 합니다. 영향받는 액션의 사용을 중지하고 빌드 로그에서 유출된 시크릿이 없는지 확인하십시오.

더 보기
(www.stepsecurity.io)
개발