마이크로소프트 패키지 생태계에서 또 자격 증명 탈취 악성코드 발견

- Ars Technica는 마이크로소프트 관련 패키지 생태계에서 몇 주 사이 두 번째로 자격 증명 탈취 악성코드가 섞인 패키지가 발견됐다고 보도했습니다. - 공격자는 정상 개발 도구처럼 보이는 패키지를 통해 토큰·환경변수 같은 민감 정보를 빼내려는 공급망 공격 방식을 사용했습니다. - 패키지 이름과 게시 주체를 신뢰하기 쉬운 생태계일수록, 설치 전 출처·버전·최근 변경 이력 확인이 중요합니다. - 조직에서는 패키지 잠금파일, 사내 미러/검증, 비밀값 스캔과 토큰 교체 절차를 함께 점검할 필요가 있습니다. 왜 중요한가: 개발자가 한 번 설치하는 패키지가 CI/CD와 클라우드 접근 권한까지 노릴 수 있어, 오픈소스 공급망 보안의 실전 위험을 보여주는 사례입니다. --- 출처: [Ars Technica](https://arstechnica.com/security/2026/06/for-the-2nd-time-in-weeks-microsoft-packages-laced-with-credential-stealer/)