sonatype_repository_firewall (3) 썸네일형 리스트형 “SW 공급망 보호, 리포지토리 방화벽부터 시작” OSC가 공급하는 소나타입, ‘리포지토리 방화벽’으로 악성 패키지 유입 차단SBOM 매니저·라이프사이클 관리 솔루션으로 안전한 SW 배포·운영 지원OSC, 국내 기업 클라우드 네이티브 전환 돕는 전문성 제공 [데이터넷] 악명높은 공격그룹이 최근 오픈소스 생태계를 이용해 전 세계를 대상으로 소프트웨어 공급망 공격을 벌이고 있다. 다이아몬드 슬릿, 문스톤 슬릿, 제이드 슬릿 등으로 분류되는 북한 공격자는 공개 NPM 레지스트리에 악성 NPM 패키지를 게시하고 개발자들이 이를 내려받도록 해 멀웨어를 배포한다. 최근에는 이라크 기반 공격자들이 PyPI에 악성 파이썬 패키지를 업로드한 것이 발견됐는데, 이 패키지에는 텔레그램 채팅 봇으로 사용자 데이터를 유출하는 기능이 포함돼 있었다.전 세계 오픈소스 공급망을 통.. Sonatype Platform 고객 성공 사례 - 미국특허청 혁신, 보안, 안정성 확보 미국 특허청(USPTO)는 미국 상무부 산하의 기관으로 특허와 상표처리 업무를 전답하고 있습니다. 미국특허청은 정부예산 배정없이 특허 및 상표처리 업무를 통한 수익으로 운영되고 있어 직원과 고객 서비스에 있어 IT 시스템은 직원 및 대고객 업무의 운영 효율성과 생산성에 지대한 영향을 미칩니다. 도전과제: 빠른 확장, 복잡한 개발 요구사항 및 프로세스 개선미국 특허청의 OCIO (Office of Chief Information Offier) 의 비즈니스 프로덕트 전담부서의 서비스 팀은 특허청 소속 개발자에게 소프트웨어 툴의 설정 및 배포를 담당하고 있습니다. 업무의 특성상 대부분의 검증 툴은 자체 개발된 소프트웨어가 대부분입니다. 최근 조직은 개발 툴의 확장과 개선에 대한 요구사항을 해소하기 위해 개발조.. 파이선 리포지토리 PyPI 악성패키지 유포 최근 Sonatype의 보안시스템에서 Python Public Repository인 PyPI에서 “pytoileur”이라는 악성패키지를 탐지하였습니다. 해당 패키지는 악성코드를 은닉하여 윈도우 사용자의 정보를 탈취하는 기능을 가지고 있습니다. Sonatype 보안팀에 의하여 sonatype-2024-1783으로 트래킹되고 있는 이 패키지는 약 260여 회 이상 다운로드 된 것으로 조사되었고, PyPI 관리자에게 패키지 삭제를 요청하였습니다. 패키지 버전 1.0.1과 1.0.2에 대한 분석이 이뤄졌고, 두 버전의 기능은 동일합니다. pytoileur는 동일 패키지를 Stack Overflow 를 비롯한 온라인 커뮤니티로도 유포하고 있기 때문에 각별한 주의가 필요합니다. 참고로 악성코드를 은닉한 방식은 “.. 이전 1 다음
