뉴스

월 1백만 회 이상 사용되는 인기 오픈소스 프로그램이 개발자 계정의 취약점을 노린 해커 공격으로 인해 사용자 인증 정보를 탈취당한 것으로 드러났다. 공격자는 GitHub 액션의 허점을 이용해 악성 코드를 삽입했고, 이 코드는 시스템 내 민감 정보(클라우드 키, API 토큰 등)를 샅샅이 수집했다. 개발팀은 즉시 해당 취약 버전을 제거하고 모든 인증 정보를 교체했으며, 사용자들에게는 즉각적인 버전 업데이트와 비밀번호 재설정을 강력히 권고하고 있다. 출처: Ars Technica | 원문: https://arstechnica.com/security/2026/04/open-source-package-with-1-million-monthly-downloads-stole-user-credentials/