Ultralytics, 공급망 공격 피해: PyPI 보안 사고 분석
2024-12-14
Python 프로젝트 Ultralytics가 최근 공급망 공격을 받았습니다. 공격자는 프로젝트의 GitHub Actions 워크플로를 해킹하여 PyPI API 토큰을 훔쳤고, 그 결과 버전 8.3.41, 8.3.42, 8.3.45, 8.3.46이 오염되었습니다. 이 공격은 PyPI의 취약성을 악용한 것이 아니라 GitHub Actions 캐시를 노린 것입니다. PyPI는 신뢰할 수 있는 게시 및 Sigstore 투명성 로그를 활용하여 악성 소프트웨어를 신속하게 식별하고 제거했습니다. 이 사고는 API 토큰과 GitHub 환경 설정의 결함을 드러냈습니다. 이 글에서는 소프트웨어 포지와 빌드/배포 워크플로의 보안 확보 중요성을 강조하고, 개발자를 위한 보안 권장 사항(신뢰할 수 있는 게시자 사용, 종속성 잠금, 안전하지 않은 패턴 회피, 다요소 인증 활성화 등)을 제공합니다.