Dependency Confusion (2) 썸네일형 리스트형 [Sonatype] 101,000개의 악성 패키지를 발견하여 차단한 기술 배경 The Magic Behind Over 101,000 Malicious Packages Discovered and Blocked Sonatype Repository Firewall은 업계를 선도하는 머신러닝 기술을 제공하여 의심스러운 악성 오픈소스 리스크를 누구보다 먼저 실시간으로 찾아냅니다. 해커들은 점점 더 교묘하고 정교한 공격을 행하고 있고 우리는 낮은 비용으로 큰 피해를 받을 수 있는 환경에 노출되어 있습니다. 과거의 해커들은 사용자들이 취약성에 노출되기를 기다렸으나, 이제는 취약성을 스스로 만들어내고 이를 퍼블릭 리포지토리에 배포하는 사례가 점점 늘어나고 있습니다. 지난 3년간 소프트웨어 공급망 및 멀웨어 공격이 742% 증가함에 따라 OSS를 사용하는 조직이 보호받기 위해서는 선제적인 대응이 .. [비개발자의 눈] #4 - Security study : 의존성 혼동(Dependency Confusion) 의존성 혼동이란 수백 개에 달하는 악성 오픈소스 패키지를 크게 세 가지 유형으로 나누면 의존성 혼동(Dependency Confusion), 타이포스쿼팅(Typosquatting), 체인잭킹(Chainjacking)으로 구분됩니다. 이 중, 의존성 혼동(Dependency Confusion) 공격은 정상적인 소프트웨어와 동일한 이름을 갖고 있는 새로운 버전의 악의적인 소프트웨어를 이용한 수법입니다. 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함인데, 공격자들이 이 단순하면서도 자동화된 성질을 이용하는 것입니다. 실제 기업이 사용하는 사용 애플리케이션에서 전체 코드 중 76%가 오픈소스 소프트웨어이고, 전체 96%의 코드베이스가 오픈소.. 이전 1 다음
