마이크로소프트 오픈소스 도구 해킹, Cursor 샌드박스 탈출, Dashlane 비밀번호 저장소 도난 - 2026년 6월 정보보안 위협 분석

마이크로소프트 오픈소스 도구 해킹, Cursor 샌드박스 탈출, Dashlane 비밀번호 저장소 도난 - 2026년 6월 정보보안 위협 분석 마이크로소프트 오픈소스 프로젝트 해킹, Dashlane 비밀번호 침해 등 2026년 6월 개발자 도구 생태계 보안 위협과 MXC, VS Code 지연 업데이트, uv audit 등 방어 메커니즘 강화.

지난주 정보보안 업계는 개발자 도구 생태계를 겨냥한 심각한 위협들로 떠들썩했습니다. 마이크로소프트의 약 70개 오픈소스 프로젝트가 악성코드에 감염되어 Azure, Claude Code, Gemini CLI, VS Code 관련 도구를 사용하는 개발자들의 비밀번호와 자격증명이 탈취되었으며, 이는 이전 Durable Task 프로젝트 침해와 동일한 접근 경로를 활용한 것으로 추정됩니다. 또한 Dashlane은 디바이스 등록 API 악용으로 20개 미만의 계정에서 암호화된 비밀번호 저장소가 다운로드되었음을 확인했습니다.

마이크로소프트는 공급망 공격에 대응하기 위해 다층적인 방어 조치를 추진 중입니다. Build 2026에서 OS 수준의 플랫폼 독립 샌드박스 시스템 MXC를 발표했으며, VS Code 확장 프로그램의 자동 업데이트에 2시간 지연을 추가하여 악성 패키지의 빠른 확산을 차단하고 있습니다. 이러한 조치들은 신뢰할 수 있는 게시자에게는 즉시 업데이트 권한을 제공하면서도 위험을 최소화합니다.

개발 워크플로우의 보안 강화를 위한 도구들도 빠르게 진화하고 있습니다. Astral의 uv 패키지 매니저는 pip-audit보다 4~10배 빠른 취약점 스캔과 OSV 기반 악성코드 검사 기능을 제공하며, Black Hills Information Security의 GoGatoZ는 GitLab CI/CD 파이프라인의 보안 오류 7,331개를 발견하여 공격 벡터와 방어 전략을 제시했습니다. 이들 도구는 개발자들이 의존성 관리와 파이프라인 보안을 사전에 강화할 수 있도록 지원합니다.

핵심 포인트

• 마이크로소프트 70개 오픈소스 프로젝트 악성코드 감염으로 개발자 자격증명 대량 탈취
• Dashlane API 악용 공격으로 비밀번호 저장소 암호화된 상태로 다운로드
• VS Code 자동 업데이트 2시간 지연과 MXC 샌드박스로 공급망 공격 방어 강화
• uv audit 도구로 Python 패키지 취약점을 기존 대비 4~10배 빠르게 검사
• GitLab CI/CD 파이프라인 7,331개 보안 문제 발견, 방어 전략 공개

전체 내용과 출처는 원문에서 확인하세요.

→ 원문 보기 (Tistory)