· it · - · -
ThreatsDay Bulletin: AI 에이전트 오류, 수상한 C2 툴, ClickFix 트릭, JS 백도어 및 20개 이상의 새로운 스토리
다시 어리석게 되었어. 인터넷은 여전히 테이프로 붙여진 듯한 느낌이다. 형편없는 플러그인, 오래된 버그, 가짜 도구, 신뢰받는 앱이 수상한 행동을 한다. 같은 혼란, 새로운 wrappe...
-
- · software · - · -
jqwik의 비공개 추가가 AI 코딩 에이전트에게 앱 출력 삭제를 지시
이에 대응하여 Link는 1.10.0 release notes를 업데이트하여 https://jqwik.net/docs/1.10.0/user-guide.html note-to-coding-agents-and-alike 에서 verbatim prompt를 공개했습니다.
- · devops · - · -
커뮤니티의 목소리: ‘Docker and Kubernetes Security’에 대한 서문과 찬사
서문 및 찬사 2025년 초에 Docker와 Kubernetes Security를 직접 출판하기로 결심했을 때, 커뮤니티로부터 받게 될 놀라운 지원을 상상조차 하지 못했습니다…
- · it · - · -
새로운 Gogs 제로데이 취약점, 해커가 원격 코드 실행을 가능하게 함
!https://www.bleepstatic.com/content/hl-images/2025/12/11/Gogs.jpg 개요 자체 호스팅 Git 서비스인 Gogs의 패치되지 않은 zero‑day 취약점은 ...
- · it · - · -
웨비나: 네트워크 인시던트가 해결되는 데 너무 오래 걸리는 이유
!https://www.bleepstatic.com/content/hl-images/2026/05/27/intelligent-workflow-funnel.jpg 대부분의 조직은 모니터링 도구, 알림 및 …
- · ai · - · -
OpenAI의 프론티어 거버넌스 프레임워크
개요 OpenAI의 Frontier Governance Framework는 우리의 안전 및 보안 관행이 캘리포니아의 T…와 같은 새로운 법적 요구사항에 어떻게 부합하는지를 설명합니다.
- · software · - · -
프로덕션 JWT를 무작위 온라인 디코더에 붙여넣지 마세요.
문제 우리 모두 경험해 본 적이 있습니다: 스테이징 또는 프로덕션 환경에서 버그를 발견한 뒤, JSON Web Token JWT를 복사해 첫 번째 …에 붙여넣는 상황을.
- · it · - · -
웨비나: 도구가 너무 많아 네트워크 사고 대응을 지연시키고 있다
!https://www.bleepstatic.com/content/hl-images/2026/05/25/automation-header.jpg 네트워크 사고는 종종 IT 팀이 모니터링 대시보드 사이를 이동하도록 강요합니다, ...
- · it · - · -
[THN Webinar] 새로운 AI DDoS 공격이 더 똑똑해졌습니다. 대응 방법을 배우세요
매일매일 해커들은 웹사이트를 다운시키고 데이터를 훔치는 새로운 방법을 찾고 있습니다. 하지만 지금은 상황이 달라졌습니다. 해커들은 더 이상 혼자 일하지 않습니다—
- · it · - · -
Motorola의 고가 스마트폰이 Amazon 앱을 해킹해 제휴 수익을 탈취할 수 있다
!https://www.androidauthority.com/wp-content/uploads/2025/05/Motorola-Razr-Ultra-top-half-of-display.jpg Ryan Haines / Android Authority TL;DR - 일부 Motorola p...
- · it · - · -
KnowledgeDeliver LMS 취약점이 Godzilla와 Cobalt Strike 배포에 악용됨
죄송합니다. 번역할 텍스트를 제공해 주시겠어요?
- · it · - · -
Anthropic의 제한된 Claude Mythos 모델이 Claude Code에 도입될 수 있습니다
Anthropic은 제한된 모델인 Mythos의 공개 출시를 준비하고 있는 것으로 보입니다...
- · software · - · -
tmpdrop 구축 — 작고 자체 호스팅되는 일시적 파일 드롭
기능 - 드래그 앤 드롭 업로드 - 예측 불가능한 URL (72비트 엔트로피) - 1시간 / 24시간 후 자동 삭제 - 엄격한 MIME 허용 목록 + CSP 샌드박스 - 단일 docker compose …
- · it · - · -
Ghost CMS CVE-2026-26980, 700개 이상의 사이트를 탈취해 ClickFix 공격에 악용
위협 개요: 위협 행위자들은 최근 공개된 Ghost CMS의 중요한 보안 결함을 악용하여 악성 JavaScript 코드를 주입하고, 이를 통해 C...
- · devops · - · -
Kubernetes 정책 시행이 너무 늦게 발생하는 이유와 해결 방안
2026년 5월 25일에 게시, Sajal Nigam, CNCF 커뮤니티 멤버
- · it · - · -
라자루스, RemotePE Memory-Only RAT를 금융 및 암호화폐 기업에 배포
Cybersecurity 연구원들은 North Korea‑linked Lazarus Group이 공격에 사용한 RemotePE라는 cross‑platform 악성코드에 대해 밝혀냈다.
- · software · - · -
Cargo 보안 권고 (CVE-2026-5222)
Rust Security Response Team은 Cargo가 sparse index protocol을 사용하는 서드파티 레지스트리의 URL을 잘못 정규화한다는 통지를 받았습니다. https://doc.rus...
- · software · - · -
Cargo에 대한 보안 권고 (CVE-2026-5223)
개요: 크레이트를 빌드할 때 Cargo는 소스 코드를 ~/.cargo에 저장된 로컬 캐시에서 추출하고, 이후 빌드에서 재사용합니다. Cargo는 보호…
- · software · - · -
Power Apps 프로젝트 계획: 더 나은 앱을 만들기 위한 7가지 간단한 단계
Power Apps 프로젝트 계획을 위한 표지 이미지: 더 나은 앱을 만들기 위한 7가지 간단한 단계 https://media2.dev.to/dynamic/image/width=1000,height=420,fit=cover,gravity=aut...
- · software · - · -
튜토리얼 #09: 내 회사 이름이 공개 URL에서 유출되었습니다
Leak discovered Zenn JP https://zenn.dev/mintototo1/articles/buildlog-2026-05-22-legacy-route-leak 오늘, 코드를 살펴보다가 오래된 라우트를 발견했습니다…
- · devops · - · -
AI 혁명의 보안: Snyk와 파트너들이 미래를 위해 스케일링하는 방법
증거는 파이프라인에 있습니다. 우리는 이 변화가 실시간으로 진행되는 모습을 지켜봤습니다. 기업들은 이제 단순히 보안 도구를 구매하는 것이 아니라—파트너를 찾고 있습니다.
- · it · - · -
NanoClaw 창업자, $20M 인수 제안을 거절하고 대신 $12M 시드 투자 유치
Funding Round NanoCo https://nanoclaw.dev/, 보안 중심의 OpenClaw 대안인 NanoClaw를 만든 회사는 초과 청약된 1,200만 달러 시드 라운드를 모금했습니다.
- · it · - · -
Webworm이 Discord와 MS Graph API를 사용하여 EchoCreep 및 GraphWorm 백도어를 배포
사이버보안 연구원들은 2025년에 중국과 연계된 위협 행위자 Webworm이 새로운 활동을 보였으며, Discord를 이용하는 맞춤형 백도어를 배포하고 있다고 경고했습니다.
- · it · - · -
Microsoft, YellowKey Windows 제로데이 완화책 공유
!https://www.bleepstatic.com/content/hl-images/2025/05/28/Windows-headpic.jpg Microsoft는 최근 공개된 Windows BitLo인 YellowKey에 대한 완화 방안을 공유했습니다.
- · devops · - · -
Red Hat Enterprise Linux 10.2 및 9.8이 출시되었습니다: 기업용 Linux의 지능형 진화
Red Hat Enterprise Linux RHEL 10.2와 9.8이 출시되었습니다. 운영 체제를 기반에서 핵심 애플리케이션, 보안 등을 위한 강력한 엔진으로 진화시키고 있습니다.
- · it · - · -
AI 앱용 ChromaDB의 최고 심각도 결함, 서버 하이재킹을 가능하게 함
최신 Python FastAPI 버전의 ChromaDB 프로젝트에서 최대 심각도 취약점이 발견되었습니다.
- · it · - · -
Microsoft Self-Service Password Reset이 Azure 데이터 절도 공격에 악용됨
Microsoft 365와 Azure 프로덕션 환경을 표적으로 하는 위협 행위자가 데이터를 훔치고 있습니다.
- · devops · - · -
Gordon을 만나보세요: Docker의 AI 에이전트, 전체 컨테이너 워크플로를 위해
2026년 5월 12일 Docker AI Governance: 에이전트 자율성 해제, 안전하게 Docker AI Governance 소개: 에이전트가 실행하는 방식과 그들이 재...
- · it · - · -
로리 앤더슨이 나를 인용하고 있다
인용문의 출처 원본 문구는 컴퓨터 과학자 로저 니드햄의 말입니다: > 당신이 cryptography가 당신의 문제를 해결할 수 있다고 생각한다면, 당신은 … 이해하지 못한 것이다.
- · it · - · -
인기 있는 GitHub Action 태그가 사칭 커밋으로 리다이렉트되어 CI/CD 자격 증명을 탈취
!StepSecurity 분석 일러스트레이션 https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgc7jpVO6HhBuEBTjkwmNjYhKlFmhhmytOqNZHYuGP-dNWrf3AoyE68yoKj77elddOX...
- · it · - · -
Pre‑Stuxnet Fast16 Malware가 핵무기 시뮬레이션을 조작
Ravie Lakshmanan 2026년 5월 18일 – 산업 사보타주 / Malware
- · it · - · -
해커들, Pwn2Own 베를린 2026에서 47개의 제로데이로 $1,298,250 획득
Pwn2Own Berlin 2026 해킹 콘테스트가 종료되었으며, 보안 연구원들은 47개의 제로‑데이 취약점을 악용해 총 $1,298,250의 보상을 받았습니다. The compet...
- · it · - · -
MiniPlasma Windows 0-Day, 완전히 패치된 시스템에서 SYSTEM 권한 상승을 가능하게 함
요약: 최근 공개된 Windows 결함 YellowKey와 GreenPlasma의 보안 연구원인 Chaotic Eclipse가 ...에 대한 proof‑of‑concept PoC를 공개했습니다.
- · it · - · -
PraisonAI CVE-2026-44338 Auth Bypass 공개 후 몇 시간 내에 표적화
번역할 텍스트를 제공해 주시겠어요? 현재 입력에는 번역할 내용이 포함되어 있지 않은 것 같습니다.
- · it · - · -
Anthropic의 Mythos AI는 얼마나 위험한가?
지난달, Anthropic은 새로운 모델인 Claude Mythos Preview에 대해 놀라운 발표를 했습니다: 이 모델은 소프트웨어에서 보안 취약점을 찾는 데 매우 뛰어났습니다.
- · it · - · -
새로운 Fragnesia Linux Kernel LPE가 페이지 캐시 손상을 통해 Root Access를 부여
최근 Dirty Frag Linux 로컬 권한 상승(LPE) 취약점의 새로운 변형에 대한 세부 사항이 밝혀졌으며, 이를 통해 로컬 공격자는 루트 권한을 얻을 수 있습니다.
- · it · - · -
18년 된 NGINX Rewrite Module 취약점, 인증되지 않은 RCE를 가능하게 함
개요: 사이버 보안 연구원들은 NGINX Plus와 NGINX Open에 영향을 미치는 여러 보안 취약점을 공개했으며, 그 중에는 중요한 결함도 포함되어 있습니다.
- · it · - · -
Safari 26.5, Safari를 충돌시키거나 사용자 데이터를 노출시킬 수 있는 WebKit 버그를 수정
Apple은 Safari 26.5에 대한 보안 수정 전체 목록을 공개했으며, 여기에는 20개의 WebKit 취약점과 WebRTC 문제에 대한 수정이 포함되어 있습니다. 이 문제는 u…
- · it · - · -
OpenAI의 GPT-5.5는 보안 취약점 찾기에서 Mythos만큼 뛰어나다
영국 AI 보안 연구소는 GPT‑5.5의 보안 취약점 탐지 능력을 평가했으며, 그 결과 Claude Mythos와 비교할 만한 수준이라고 밝혔습니다. OpenAI 모델 i...
- · software · - · -
xml2json XML 인젝션
설명: toXml 함수는 개발자가 XML 출력이 인젝션으로부터 보호하도록 활성화할 수 있는 sanitize 옵션을 제공합니다. 그러나, sanitization은...
- · it · - · -
미국 정부, 대규모 Canvas 사이버 공격에 대한 Instructure 증언 요청
https://www.bleepstatic.com/content/hl-images/2026/05/07/canvas-logo.jpg 의회 증언 요청 미국 하원 국토안보 위원회는…
- · it · - · -
RubyGems, 수백 개의 악성 패키지가 업로드된 후 새 가입을 일시 중단
!RubyGems 공격 이미지https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggIbYm86Vn45Nd86Hd5IEqHufRIS5Ud3spGUy5JWHy-My-NBVocyj-aR7E3gBKibPnrWd5DRYnDfmba...
- · it · - · -
새로운 TrickMo 변종, TON C2와 SOCKS5를 사용해 Android 네트워크 피벗 생성
개요: 사이버 보안 연구원들은 새로운 버전의 TrickMo Android banking trojan이 The Open Network TON을 사용하여 command‑and‑control C2를 수행한다는 점을 확인했습니다....
- · ai · - · -
NVIDIA와 SAP, 특화된 에이전트에 신뢰를 제공한다
재무와 조달에서 공급망 및 제조에 이르기까지, 특화된 AI 에이전트가 비즈니스 의사결정이 이루어지는 엔터프라이즈 시스템으로 진입하고 있습니다,…
- · it · - · -
웨비나: 가장 위험한 SOC 알림이 답변되지 않는 이유 - 그리고 Radiant Security가 도와줄 수 있는 방법
가장 위험한 SOC 알림이 답변을 받지 못하는 이유는 무엇일까요? 보안 운영 팀은 알림에 압도당하고 있습니다. 하지만 실제 문제는 항상 알림 양이 아니라; 그것은 블라인드…
- · it · - · -
OpenAI, AI 기반 취약점 탐지 및 패치 검증을 위한 Daybreak 출시
OpenAI는 최첨단 인공지능 모델 기능과 Codex Security를 결합한 새로운 사이버 보안 이니셔티브인 Daybreak를 출시했습니다. https://thehac...
- · it · - · -
공식 CheckMarx Jenkins 패키지가 인포스틸러에 의해 손상됨
Checkmarx는 주말에 악성 버전의 Jenkins Application Security Testing AST 플러그인이 Jenkins Marketplace에 게시되었다고 경고했습니다. The...
- · it · - · -
TeamPCP, KICS 공급망 공격 몇 주 후 Checkmarx Jenkins AST 플러그인 침해
침해된 Jenkins AST 플러그인 !Jenkins AST 플러그인 이미지 https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiq0A3_8O89uC968dpFnFxE4v3J4fpr5nEqC-2QiSJ_rt...