해커는 머신러닝 프레임워크 파이토치(PyTorch)에 악성 패킷을 심어 SSH 키를 포함한 데이터를 유출할 수 있었다. 크리스마스와 새해 전날 밤사이에 파이토치(Pytorch)의 나이틀리(nightly) 빌드를 설치한 사용자...
2023.01.04
요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다. 공급망 공격은 공격자가 소프트웨어 ...
2021.06.04
의존성 혼동(Dependency confusion)이란 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함이다. 공격자들은 이 문제를 이용해 개발 환경을 속일 수 있다. 즉, 비공개 저...
오픈소스 의존성혼동 Dependency confusion 공급망
2021.03.05
의존성 혼동(Dependency confusion)이란 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함이다. 공격자들은 이 문제를 이용해 개발 환경을 속일 수 있다. 즉, 비공개 저...
2021.03.05