-
Python 라이브러리에서 AWS 자격 증명, 네트워크 인터페이스 정보 및 환경 변수를 수집보안 2022. 6. 26. 22:33반응형
요즘은 라이브러리에 악성코드를 삽입하는 경우가 많이 발생한다
특히 요즘 인기있는 Python에
https://blog.sonatype.com/python-packages-upload-your-aws-keys-env-vars-secrets-to-web
Python packages upload your AWS keys, env vars, secrets to the web
Multiple Python packages caught by Sonatype were seen uploading secrets such as AWS keys and environment variables to a web endpoint.
blog.sonatype.com
loglib-modules, pyg-modules, pygrata, pygrata-utils 및 hkg-sol-utils가 삽입된 악성 코드를 통해 패키지는 AWS 자격 증명, 네트워크 인터페이스 정보 및 환경 변수를 수집하고 웹으로 업로드 하는 것일 발견했다
PyPI, Github 등 오픈소스 저장소를 통한 악성코드 배포가 최근에 자주발생하고 있어
오픈소스를 활용함에 있어서도 주의가 필요한 것 같다
반응형'보안' 카테고리의 다른 글
google play store 악성코드 앱 제거 (0) 2022.07.19 OpenSSL 3.0.5로 업데이트(CVE-2022-2274) (0) 2022.07.07 MS OFFICE 제품군 Zero-day 취약점 (0) 2022.06.06 FireFox 인증서 확인 비활성화 (0) 2022.05.11 Asus 공유기 Cyclops Blink 취약점 (0) 2022.03.20