The Hacker News 발췌문
Legacy Python Bootstrap Script-xs Create Domain-Takeover Risk in Multiple PyPI Packages (11-28)
- 사이버 보안 연구원들이 레거시 파이썬 패키지에서 취약한 코드를 발견했습니다. 이 코드는 도메인 점유 공격을 통해 파이썬 패키지 인덱스(PyPI)의 공급망을 침해할 수 있는 가능성을 내포하고 있습니다.
- 소프트웨어 공급망 보안 회사 ReversingLabs는 "zc.buildout"이라는 빌드 및 배포 자동화 도구에서 제공하는 부트스트랩 파일에서 이 "취약성"을 발견했다고 밝혔습니다.
- 보안 연구원 블라디미르 페조는 "이 스크립트는 필요한 라이브러리와 도구의 다운로드, 빌드 및 설치 프로세스를 자동화합니다."라고 말했습니다. "특히, 부트스트랩 스크립트가 실행되면 python-distribute[.]org에서 Distribute 패키지의 설치 스크립트를 가져와 실행합니다. 이 레거시 도메인은 현재 프리미엄 가격대에 판매되고 있으며, 광고 수익을 창출하기 위해 관리되고 있습니다."
- 뉴스보기
MS Teams Guest Access Can Remove Defender Protection When Users Join External Tenants (2025-11-28)
- 사이버 보안 연구원들은 공격자가 Teams의 게스트 액세스 기능을 통해 Microsoft Defender for Office 365 보호 기능을 우회할 수 있는 교차 테넌트 사각지대를 밝혀냈습니다.
- 온티뉴 보안 연구원 라이스 다우닝은 보고서에서 "사용자가 다른 테넌트에서 게스트로 작업하는 경우, 보호 기능은 소속 조직이 아닌 해당 호스팅 환경에 따라 전적으로 결정됩니다."라고 밝혔습니다.
- "이러한 발전은 협업 기회를 늘리는 동시에 외부 환경의 신뢰성과 적절한 보안 유지에 대한 책임도 확대합니다."
- 뉴스보기
Microsoft to Block Unauthorized Script-xs in Entra ID Logins with 2026 CSP Update (2025-11-27)
- Microsoft는 1년 후부터 무단 스크립트 삽입 공격을 차단하여 Entra ID 인증 보안을 강화할 계획이라고 발표했습니다.
- 이번 콘텐츠 보안 정책(CSP) 업데이트는 신뢰할 수 있는 Microsoft 도메인의 스크립트만 실행되도록 하여 "login.microsoftonline[.]com"에서 Entra ID 로그인 환경을 개선하는 것을 목표로 합니다.
- Microsoft는 "이 업데이트는 인증 과정에서 신뢰할 수 있는 Microsoft 도메인의 스크립트만 실행되도록 허용하고, 로그인 과정에서 무단으로 삽입된 코드의 실행을 차단하여 보안을 강화하고 보호 계층을 추가합니다."라고 밝혔습니다.
- 뉴스보기
KISA보안공지
기타 동향
넷마블, 해킹 당해 개인정보 유출… “주민번호는 제외” (2025-11-26)
- 마구마구·모두의마블 등 PC 게임 18종 대상, 모바일·런처 게임은 해당 없어
- 넷마블 “주민번호 등 민감정보 유출 없어.. 재발 방지 총력”
- 뉴스보기
또 터진 ‘공급망 보안’... 오픈AI, 협력사 해킹에 고객정보 노출 불똥 (2025-11-27)
- 데이터 분석 서비스 믹스패널 내부 시스템 해킹...오픈AI API 이용자 정보 포함
- 플랫폼 기업 ‘협력사 리스크’ 관리 도마 올라...즉각 계약 해지 강수
- 뉴스보기
[쿠팡 해킹] 정부 “3개월간 개인정보 불법 유통 집중 모니터링” (2025-11-30)
- 배경훈 장관 긴급 대책회의 개최
- 3개월간 개인정보 유노출 및 불법유통 모니터링 강화
- 뉴스보기
원격지원
목록