악성패키지 (1) 썸네일형 리스트형 [비개발자의 눈] #4 - Security study : 의존성 혼동(Dependency Confusion) 의존성 혼동이란 수백 개에 달하는 악성 오픈소스 패키지를 크게 세 가지 유형으로 나누면 의존성 혼동(Dependency Confusion), 타이포스쿼팅(Typosquatting), 체인잭킹(Chainjacking)으로 구분됩니다. 이 중, 의존성 혼동(Dependency Confusion) 공격은 정상적인 소프트웨어와 동일한 이름을 갖고 있는 새로운 버전의 악의적인 소프트웨어를 이용한 수법입니다. 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함인데, 공격자들이 이 단순하면서도 자동화된 성질을 이용하는 것입니다. 실제 기업이 사용하는 사용 애플리케이션에서 전체 코드 중 76%가 오픈소스 소프트웨어이고, 전체 96%의 코드베이스가 오픈소.. 이전 1 다음