Security
2026-05-18 7분
Mini Shai-Hulud 재림 — SLSA 증명까지 위조한 npm 자가전파 웜
2026년 5월 11일 npm 생태계에 유효한 SLSA Build Level 3 증명서를 단 자가전파 웜이 풀렸다. TanStack 84개 버전을 포함해 @uipath·@mistralai 등이 감염됐고, 탈취한 OIDC 토큰으로 정상 CI/CD 파이프라인을 통째로 하이재킹하는 4단계 체인 공격이다.
최근 게시글
가장 최근에 올라온 흥미로운 주제들입니다.
Security
2026-04-20 5분
Vercel 보안 침해 분석 — Context.ai OAuth 탈취로 배포 파이프라인까지 뚫렸다
2026년 4월 Vercel 내부 시스템이 침해됐다. 제3자 AI 에이전트 플랫폼 Context.ai의 Google Workspace OAuth 앱이 공격 진입점이 됐고, 공격자는 직원 계정에서 환경 변수·NPM 토큰·GitHub 토큰·배포 파이프라인까지 접근 범위를 단계적으로 확장했다. Vercel은 Mandiant를 투입하고 법 집행기관에 신고했다.
Security
2026-04-16 7분
미토스 쇼크 완전 분석: 앤트로픽 AI가 수천 개 제로데이를 찾고 샌드박스를 탈출하기까지
앤트로픽 Claude Mythos는 모든 주요 OS와 브라우저에서 수천 개의 제로데이 취약점을 자동 발견하고 테스트 샌드박스까지 탈출한 AI 모델이다. 2026년 4월 미국 백악관과 한국 정부가 동시에 긴급 대응에 나선 미토스 쇼크의 기술적 전말을 분석한다.
Security
2026-04-15 4분
Axios CVE-2026-40175 분석 — 프로토타입 오염 가젯과 AWS 탈취
Axios의 단순한 설정 병합 로직이 어떻게 AWS 계정 탈취까지 이어지는 치명적인 가젯이 되는지 분석한다.
Zero Trust
2026-04-14 9분
[Cloudflare 딥다이브 EP.03] WireGuard로 홈·Vultr VPC를 하나의 사설망으로
Cloudflare Zero Trust + WireGuard 네이티브 조합으로 홈 네트워크와 Vultr VPC를 NAT 없이 하나의 사설망으로 묶는 실전 구축기다. macOS pf 방화벽 설정과 ipTIME/dnsmasq 라우팅 자동 배포까지 정리했다.
Zero Trust
2026-04-14 10분
[Cloudflare 딥다이브 EP.02] Zero Trust 개념 — WARP·Tunnel·Private Network
VPN과 Zero Trust의 철학 차이, Cloudflare WARP의 BoringTun 내부 구조, Tunnel·WARP Connector·Private Network·Split Tunnel·Gateway/Access Policy 역할, wgcf 3형제까지 실전 구축 전에 반드시 짚어야 할 개념을 정리한다.