지난주 후반, 암호학적으로 검증된 마이크로소프트의 오픈 소스 패키지 수십 개가 침해되는 사고가 발생했습니다. Ars Technica는 여러 연구자의 말을 인용해, 개발자가 AI 코딩 에이전트에서 해당 패키지를 열 때 자격 증명을 훔치는 코드가 포함되어 있었다고 보도했습니다. GitHub 자동화 시스템은 73개의 패키지를 차단했으며, 초기에는 이를 악성으로 식별하는 대신 "GitHub 서비스 약관 위반으로 인해" 비활성화되었다는 공지를 표시했습니다. 마이크로소프트는 월요일, "잠재적인 악성 콘텐츠"를 조사하는 동안 "일부 리포지토리를 일시적으로 제거했다"고 밝혔습니다. 이번 사건은 지난 5월 중순 PyPI의 마이크로소프트 durabletask Python SDK가 침해된 데 이어 발생한 것입니다. StepSecurity에 따르면 해당 SDK는 매월 40만 건의 다운로드를 기록했습니다. 이와 별도로 Cyber Security News는 Foresiet 연구원들이 18개의 브라우저,...

Read the original article