보안 연구원들과 미국 사이버 당국은 개발자 도구, 패키지 레지스트리 및 소스 코드 워크플로와 관련된 여러 소프트웨어 공급망 공격을 보고했습니다. 마이크로소프트는 5월 28일, 한 npm 캠페인이 AWS 자격 증명, HashiCorp Vault 토큰, GitHub Actions 시크릿 및 npm 레지스트리 토큰을 탈취하기 위해 14개의 타이포스쿼팅(typosquatted) 패키지를 게시했다고 밝혔습니다. 또한 5월 28일과 29일에 발생한 별도의 npm 캠페인에서는 33개의 악성 패키지에 걸쳐 종속성 혼란(dependency confusion)을 이용해 후속 활동을 위한 개발자 환경 프로파일링을 수행했다고 전했습니다. Socket은 브라질 Sicoob 금융 시스템용 C# SDK로 위장하여 뱅킹 API를 통합하는 개발자로부터 클라이언트 ID, PFX 인증서 및 PFX 비밀번호를 유출하는 악성 NuGet 패키지 'Sicoob.Sdk'를 발견했습니다. The Hacker News에 따...

Read the original article