보안 주간: 소프트웨어 공급망 위험과 관련된 AI 환각, CI 수정이 중요하다고 간주됨

홈 » 편집 달력 » 소프트웨어 공급망 보안 » 보안 주간: 소프트웨어 공급망 위험과 관련된 AI 환각, CI 수정이 중요하다고 간주됨

애플리케이션 보안, 사이버 보안 등 전체 보안 스택에 걸쳐 전 세계와 우리 팀의 최신 헤드라인을 제공하는 The Week in Security의 최신 버전에 오신 것을 환영합니다. 이번 주: ChatGPT 환각은 소프트웨어 공급망 위협을 야기합니다. 또한: 의회가 위임한 한 감시 그룹은 백악관이 중요한 인프라를 보호하기 위한 노력을 강화해야 한다고 믿습니다.

Vulcan Cyber의 Voyager18 연구팀의 연구원들은 위협 행위자가 ChatGPT의 잘못된 권장 사항을 악용하여 해당 도구를 사용하는 개발자를 통해 악성 코드를 확산시킬 수 있음을 발견했습니다. 이 발견은 개발자가 실수로 애플리케이션 및 오픈 소스 코드 저장소에 악성 코드와 트로이 목마를 삽입할 수 있다는 점에서 소프트웨어 공급망에 엄청난 위험을 초래합니다. npm 및 PyPI와 같은 리포지토리에서는 이미 플랫폼에 대한 공격이 크게 증가했으며 ChatGPT와 관련된 이 새로운 위험은 문제를 더욱 악화시킬 뿐입니다.

연구원들은 위협 행위자가 "AI 패키지 환각"을 활용하여 실제로 악성인 ChatGPT 권장 패키지를 만들 수 있다고 믿습니다. 이 시나리오에서 환각은 불충분하거나 편향되거나 거짓인 실제 AI 반응으로 정의됩니다. 이는 ChatGPT가 인터넷 전체의 소스, 심지어 부정확하고 악의적인 소스를 사용하여 사용자에 대한 응답을 생성하기 때문에 발생합니다.

공격자는 제안된 ChatGPT 제작 소프트웨어 패키지의 자체 악성 버전을 게시하여 이를 유리하게 이용할 수 있습니다. 공격자의 희망은 ChatGPT가 악성 패키지를 소스로 채택하여 AI 시스템을 사용하는 개발자에게 권장 사항으로 제공하는 것입니다. 실수로 ChatGPT를 통해 이러한 악성 패키지를 다운로드한 개발자는 이를 개인 프로젝트나 오픈 소스 저장소 모두에서 사용할 수 있어 무한한 수의 소프트웨어 공급망에 잠재적인 위험을 초래할 수 있습니다.

ChatGPT는 2022년 11월 출시된 이후 개발자와 위협 행위자 모두에게 인기 있는 도구가 되었습니다. 이로 인해 사이버 보안 커뮤니티는 AI가 시스템과 공급망을 가장 잘 보호하는 방법을 어떻게 획기적으로 바꿀 수 있는지에 대해 동의하게 되었습니다.

이번 주 주목해야 할 이야기는 다음과 같습니다.

해커로부터 중요 인프라를 보호하기 위해 고안된 미국 정부 정책은 매우 구식이며 사이버 위협으로부터 물, 운송과 같은 분야를 보호하기에는 부적절하다고 의회에서 위임한 영향력 있는 전문가 그룹이 말했습니다.

러시아에 본부를 두고 있는 것으로 알려진 사이버 범죄 조직인 Clop 그룹은 최근 대규모 급여 데이터 해킹의 표적이 된 영국 및 기타 국가의 기업에 "최후통첩"을 발령했습니다. BBC, 영국항공 등을 포함한 기업에서 10만 명 이상의 직원 급여 데이터가 도난당했습니다.

Kimsuky로 알려진 북한 국가 위협 행위자는 Google 자격 증명을 훔치고 정찰 악성 코드를 전달하려는 목적으로 북한 문제 전문가를 표적으로 삼는 사회 공학 캠페인에 연결되었습니다. 이번 공개는 미국과 한국 정보기관이 킴수키가 싱크탱크, 학계, 언론 부문을 공격하기 위해 사회 공학 전술을 사용했다는 경고를 발령한 지 며칠 만에 나온 것입니다.

Royal 랜섬웨어 조직은 일반적인 암호화 도구와 많은 유사점을 공유하는 BlackSuit이라는 새로운 암호화 도구를 테스트하기 시작했습니다. 이 갱단은 2023년 1월에 출범했으며 2022년 6월에 폐쇄된 악명 높은 Conti 사업의 직접적인 후계자로 여겨집니다.

지난 주에 우리는 몇 달 동안 방치된 Barracuda 이메일 결함의 최근 발견에 대해 보고했습니다. 이제 회사는 고객에게 해킹된 이메일 보안 게이트웨이(ESG) 어플라이언스를 사용 가능한 모든 패치를 설치했더라도 즉시 교체하라고 지시하고 있습니다.