히큐리티(Hecurity)

ㅣ

ㅂ

오늘의 뉴스클리핑의 이슈는 바로 GitHub Actions 태그가 악성 커밋으로 변경 입니다 - ! GitHub Actions 태그가 악성 커밋으로 변경 이번 기사는 개발자들이 자동화 배포와 테스트를 위해 많이 사용하는 GitHub Actions가 공급망 공격(Supply Chain Attack)에 악용된 사건을 다루고 있다. 공격자는 actions-cool/issues-helper 와 actions-cool/maintain-one-comment 라는 인기 GitHub Actions 저장소를 장악한 뒤, 기존 정상 태그(tag)를 악성 커밋으로 변경하였다. 이 때문에 해당 액션을 사용하던 개발사들의 CI/CD 파이프라인에서 악성 코드가 자동 실행되었고, 그 과정에서 ..

오늘의 뉴스클리핑의 이슈는 바로 NGINX 치명적 결함 발견 입니다 - ! NGINX 치명적 결함 발견 최근 발견된 NGINX의 심각한 힙 버퍼 오버플로우 취약점인 CVE-2026-42945(일명 NGINX Rift)는 무려 18년 동안 코드베이스에 잠복해 있던 것으로 확인되었다. 이 취약점은 NGINX Open Source 및 NGINX Plus의 ngx_http_rewrite_module에서 발생하며, 공격자는 별도의 인증 절차 없이 특수하게 조작된 HTTP 요청을 보내 서버에 서비스 거부(DoS) 상태를 유발할 수 있다. 특히 시스템의 주소 공간 레이아웃 임의화(ASLR) 기능이 비활성화된 환경이라면 원격 코드 실행(RCE)을 통해 서버 제어권까지 장악할 수..

오늘의 뉴스클리핑의 이슈는 바로 북한, 딥페이크를 이용한 사이버 공격 입니다 - ! 북한, 딥페이크를 이용한 사이버 공격 북한 국가정보국과 연계된 것으로 추정되는 해킹 조직인 APT37이 생성형 AI와 딥페이크 기술을 악용하여 경찰청이나 군 기관 등을 사칭하는 스피어피싱 공격을 전개했다. 이들은 정교하게 위조된 가짜 공무원증 등을 활용해 북한 연구자, 인권 활동가, 기자, 안보 종사자 등을 주요 표적으로 삼았다. 이는 북한의 사이버 공격이 최신 AI 기술과 결합하면서 과거보다 훨씬 교묘하고 고도화되었음을 보여주는 대표적인 사례이다. 공격 과정이번 공격은 인간의 심리를 파고드는 사회공학적 기법과 다단계 악성코드 유포 기술이 결합된 형태로 이루어졌다. 공격자들은 먼저 ..

오늘의 뉴스클리핑의 이슈는 바로 네이버 멤버십 결제 피싱주의보 입니다 - ! 네이버 멤버십 결제 피싱주의보 최근 네이버 플러스 멤버십 결제 완료 안내로 위장하여 사용자의 네이버 계정 비밀번호를 탈취하려는 피싱 메일이 기승을 부리고 있다. 해당 메일은 실제 네이버의 결제 메일과 매우 유사한 디자인과 4,900원이라는 구체적인 결제 금액을 명시하여 사용자가 무심코 메일 내의 링크를 클릭해 비밀번호를 입력하도록 유도한다. 이에 네이버는 공식 로그인 페이지의 도메인은 무조건 nid.naver.com임을 강조하며 사용자들의 각별한 주의를 당부했다. 공격과정이번 피싱 공격은 공식 메일을 흉내 낸 제목으로 불특정 다수에게 위장 도메인을 사용한 메일을 발송하는 것으로..

오늘의 뉴스클리핑의 이슈는 바로 북한 해킹조직 ‘김수키’, AI 악성코드로 정부 시스템 노린다 입니다 - ! 북한 해킹조직 ‘김수키’, AI 악성코드로 정부 시스템 노린다 카스퍼스키는 북한 해킹 조직 김수키의 최신 공격 기법을 분석한 보고서를 발표했다. 보고서에 따르면 김수키는 AI 기술을 악성코드 제작 과정에 활용하고 있으며, VSCode 원격 터널링 기능과 원격 관리 도구를 이용해 보안 탐지를 우회하는 새로운 공격 방식을 사용하고 있는 것으로 나타났다. 또한 정부 공무원이 사용하는 전자인증서(GPKI)를 탈취하려는 기능까지 확인되면서 정부 시스템 침투 가능성에 대한 우려가 커지고 있다. 공격 대상은 정부 공무원, 군 관계자, 방산업체 직원뿐 아니라 해외 인사들..

오늘의 뉴스클리핑의 이슈는 바로 셀카 한 장이 부른 보안 위협, 지문 유출 가능성 입니다 - ! 셀카 한 장이 부른 보안 위협, 지문 유출 가능성 최근 고성능 카메라가 장착된 스마트폰의 보급으로 인해 일상적인 셀카 촬영 과정에서 무심코 취하는 브이(V) 포즈가 지문 유출의 통로가 될 수 있다는 경고가 제기되었다. 뉴스에 따르면 약 3m 거리 내에서 촬영된 사진이라면 충분히 지문 정보를 추출할 수 있는 수준이며, 이렇게 노출된 지문은 생체 인식 보안 시스템을 무력화하는 데 악용될 위험이 크다는 점을 시사하고 있다. -핵심 내용고해상도 카메라 기술의 비약적인 발전은 아주 미세한 지문의 능선과 계곡 패턴까지 원거리에서 식별 가능하게 만들었다. 비밀번호와 달리 지문은 ..

오늘의 뉴스클리핑의 이슈는 바로 가짜 통화기록 앱에 속은 730만 안드로이드 이용자 입니다 - ! 가짜 통화기록 앱에 속은 730만 안드로이드 이용자 최근 안드로이드 스마트폰에서 아무 전화번호나 입력하면 해당 번호의 통화 및 문자 기록을 볼 수 있다고 사용자를 속여 결제를 유도한 사기 앱 28개가 적발되었다. 보안 기업 이셋(ESET)에 의해 적발된 이 앱들은 실제 기록 조회 기능이 전혀 없었으며, 앱 내부에 미리 무작위로 만들어둔 가짜 데이터를 보여주는 방식으로 사람들을 속였다. 주로 인도와 아시아태평양 지역에서 730만 회 이상 다운로드되는 등 큰 피해를 낳았으며, 현재는 구글의 조치로 구글플레이 스토어에서 모두 삭제된 상태이다. 핵심 내용이 사기 앱..