태그

시크릿 스캐닝

글 4개

Secret scanning alert: Resolved. 크리덴셜 상태: Active. 코드에서 지우는 것과 폐기하는 것은 완전히 다릅니다. Zombie Key 킬체인 분석.

.env 파일이 GitHub 공개 저장소에 push된 지 4분 만에 공격자 봇이 탐지합니다. 크리덴셜 노출에서 인프라 침해까지의 Kill Chain 전체를 분석하고, 피해가 발생하기 전에 탐지하고 대응하는 방법을 다룹니다.

AI 코딩 도구 Cline의 GitHub Issue 트리아지 봇에 프롬프트 인젝션을 주입해 npm 토큰을 탈취하고, 4,000대의 개발자 머신에 악성 AI 에이전트를 설치한 Clinejection 공격. AI가 AI를 설치하는 새로운 공급망 공격이 시작되었습니다.

Git secret scanning 완벽 가이드. TruffleHog, GitGuardian, GitHub Advanced Security, Cremit 비교. 실전 CI/CD 통합 예제와 구현 전략 포함.