해커들이 드롭박스 사용자의 문을 다시 두드렸습니다. 전자 서명 서비스인 Dropbox Sign은 특히 사용자 이름, 이메일, 전화번호 등의 유출로 인해 손상되었습니다.

SEC 제출에 따르면 Dropbox는 2024년 4월 24일에 유출 사실을 인지했습니다. Dropbox는 위반 사항을 검색하고 억제하기 위해 즉시 사이버 보안 조치를 활성화했습니다.

소수에게만 상황이 악화됨

전화번호, 해시된 비밀번호, 인증 정보(예: API 키, OAuth 토큰, 다단계 인증)도 특정 사용자 하위 집합에 대해 노출됩니다.

그게 전부는 아닙니다. 또한 드롭박스 Sign을 사용하여 문서에 전자 서명하는 일부 등록되지 않은 사용자에게도 영향을 미칩니다. 이번 침해로 인해 이들의 이메일, 이름, 주소가 노출되었습니다.

Dropbox 서명 문서도 영향을 받나요?

공식 공개에 따르면 Dropbox는 이번 사건에서 사용자의 문서나 계약이 위반되거나 노출되지 않았다고 밝혔습니다.

귀하의 민감한 정보가 유출되지 않도록 조심하고 조치를 취하는 것이 현명할 것입니다.

이제 Dropbox Sign을 사용해도 안전한가요?

드롭박스 Sign에서는 모든 사용자에게 비밀번호가 만료되었다는 메시지를 보냈습니다. 이제 로그인을 위해 새로운 사용자 비밀번호를 생성해야 합니다.

타사 앱 및 서비스에 사용할 새 키를 가져와야 하는 API 키 사용자도 마찬가지입니다.

드롭박스 계정이 영향을 받나요?

공식 성명에 따르면, 귀하의 Dropbox 클라우드 계정은 Sign에 연결되어 있더라도 이번 침해로 인해 영향을 받지 않습니다.

하지만 다른 곳에서 Dropbox Sign 비밀번호를 사용하고 계시다면 회사에서는 비밀번호 변경을 권장합니다.

긴장을 풀고 다음 단계를 기다리세요

드롭박스는 독립적인 사이버 보안 전문가의 조사가 완료될 때까지 사용자에게 기다리라고 권고했습니다.

영향을 받는 모든 사용자에게는 이번 주 내에 알림이 전송됩니다. 그동안 비밀번호와 API를 변경하고 다음 권장 단계를 기다려야 합니다.

데이터를 백업한 다음 잠재적으로 노출된 계약에 필요한 변경을 수행하는 것이 좋습니다. 이렇게 하면 민감한 정보가 완전히 위험에 빠지지 않게 됩니다.

*참조한 원본 글: https://www.techworm.net/2024/05/dropbox-customer-data-stolen-hackers.html

Google은 이제 일부 Android 앱의 원격 코드 실행(RCE) 취약점을 보고하는 데 최대 450,000달러의 현상금을 제공합니다.

RCE는 공격자가 추가 악성 코드를 배포하거나 민감한 데이터를 훔치기 위해 위치에 관계없이 대상 컴퓨터에서 원격으로 악성 코드를 실행할 수 있는 사이버 공격입니다.

이전에는 Tier 1 앱의 RCE 취약점 보고에 대한 보상이 $30,000였지만 이제는 $300,000로 최대 10배 증가했습니다.

이러한 변경 사항은 2023년에 출시된 모바일 VRP(모바일 취약점 보상 프로그램)에 적용되었으며, 이는 Google에서 개발하거나 유지 관리하는 자사 Android 앱에 중점을 둡니다.

이 프로그램의 목표는 "Google이 자사 Android 애플리케이션의 보안 상태를 개선하는 데 도움을 준 연구자들의 기여와 노고를 인정함으로써 자사 Android 애플리케이션의 취약성을 완화하여 사용자와 사용자의 데이터를 안전하게 유지하는 것"입니다..”

Mobile VRP 출시 이후 Google은 40개 이상의 유효한 보안 버그 보고서를 접수했으며 이에 대해 보안 연구원들에게 보상금으로 거의 100,000달러를 지불했습니다.

Tier 1의 범위 내 앱 목록에는 Google Play 서비스, Android Google 검색 앱(AGSA), Google Cloud 및 Gmail이 포함됩니다.

또한 Google은 이제 보안 연구원이 민감한 데이터의 도난으로 이어질 수 있는 결함에 특별한 주의를 기울이기를 원합니다. 원격 또는 사용자 상호 작용이 필요하지 않은 공격의 경우 연구원은 $75,000를 받게 됩니다.

또한, 거대 기술 기업은 제안된 패치 또는 취약점의 효과적인 완화는 물론 문제의 다른 유사한 변종을 찾는 데 도움이 되는 근본 원인 분석을 포함하는 뛰어난 품질의 보고서에 대해 총 보상 금액의 1.5배를 지불할 것입니다. 이를 통해 연구원은 Tier 1 Android 앱에서 RCE 익스플로잇으로 최대 450,000달러를 벌 수 있습니다.

그러나 연구원은 다음을 제공하지 않는 낮은 품질의 버그 보고서에 대해 보상의 절반을 받게 됩니다.

• 문제에 대한 정확하고 자세한 설명
• 개념 증명 익스플로잇
• APK 형식의 예시 애플리케이션
• 취약점을 안정적으로 재현하는 방법에 대한 단계별 설명
• 취약점의 영향에 대한 명확한 분석 및 시연

범주

1) 원격/사용자 상호작용 없음

2) 사용자는 취약한 앱을 악용하는 링크를 따라야 합니다.

3) 사용자는 악성 앱을 설치해야 합니다. 그렇지 않으면 피해자 앱이 기본이 아닌 방식으로 구성되어 있습니다.

4) 공격자는 동일한 네트워크에 있어야 합니다(예: MiTM)

“우리 규칙에도 몇 가지 추가적이고 작은 변경 사항이 적용되었습니다. 예를 들어 SDK의 2x 수정자는 이제 일반 보상에 포함됩니다. 이는 전반적인 보상을 증가시키고 패널의 결정을 더 쉽게 할 것입니다.” Google 정보 보안 엔지니어 Kristoffer Blasiak이 말했습니다.

*참조한 원본 글: https://www.techworm.net/2024/05/google-bounty-rce-bugs-android-apps.html

거대 기술 기업 구글이 미국 이외의 지역에서 값싼 노동력을 고용해 추가 지출을 줄이기 위해 더 많은 인력 감축을 다시 발표했습니다.

TechCrunch를 통해 영향을 받은 직원들이 소셜 미디어에서 공유한 보고서에 따르면 최근 정리해고는 Flutter, Dart, Python 등과 같은 필수 팀의 직원들에게 영향을 미쳤습니다.

Google 대변인 Alex García-Kummert는 TechCrunch 에 내부 팀 3곳의 해고에 대해 "우리가 말했듯이 우리는 회사의 가장 큰 우선순위와 앞으로 다가올 중요한 기회에 책임감 있게 투자하고 있습니다"라고 확인했습니다.

“2023년 하반기부터 2024년까지 이러한 기회에 가장 적합한 위치를 확보하기 위해 많은 팀에서 효율성을 높이고 더 효과적으로 작업하고, 계층을 제거하고, 리소스를 가장 큰 제품 우선순위에 맞추도록 변경했습니다. 이를 통해 우리는 직원들에게 가장 혁신적이고 중요한 발전과 회사의 가장 큰 우선순위에 대해 작업할 수 있는 더 많은 기회를 제공하는 동시에 관료주의와 계층을 줄이기 위해 구조를 단순화하고 있습니다.”라고 덧붙였습니다.

회사는 해고됐거나 향후 해고될 직원의 정확한 수는 밝히지 않았지만 정리해고의 주요 원인으로 조직개편을 분명히 했다.

Flutter 및 Dart 팀의 영향을 받은 직원들은 소셜 미디어 플랫폼의 인력 감축에 대한 실망감을 공유했습니다.

Flutter 및 Dart의 Google 제품 관리자인 Kevin Moore는 Reddit 에 다음과 같이 게시했습니다. “해고는 우리 팀보다 최소한 두 단계 위에서 결정되었으며 많은 팀에 영향을 미쳤습니다. (그렇게 말할 수 있을 것 같습니다.)

많은 좋은 사람들이 나쁜 소식을 접했고 많은 훌륭한 프로젝트에서 사람들을 잃었습니다. Flutter와 Dart는 다른 것들보다 더 많거나 적게 영향을 받지 않았습니다. 힘든 하루였습니다… 힘든 한 주였습니다.”

그는 “슬프지만 여전히 I/O와 그 이상에 대해 열심히 노력하고 있습니다. 우리는 여러분이 프로젝트와 팀, 그리고 우리가 함께 구축한 멋진 생태계에 대해 많은 관심을 가질 것이라는 것을 알고 있습니다. 당신은 긴장합니다. 알겠습니다. 우리는 그것을 얻습니다. Flutter와 Dart에 베팅하고 계십니다. 나도 마찬가지고, 구글도 마찬가지다.”

구글에 따르면 해고된 직원들은 주로 프로그래밍 언어를 담당했다. 회사는 회사 내부 또는 외부 부서 내에서 다른 공개 역할에 지원하고 재취업 서비스에 접근하고 퇴직할 수 있는 충분한 시간을 제공합니다.

정리해고 훈련의 일환으로 구글은 2023년에 약 12,000명의 직원을 해고했고, 2024년 첫 4개월 동안 수백 명의 직원을 해고했습니다.

구글 CEO 순다르 피차이(Sundar Pichai)는 이미 2024년에는 정리해고가 단계적으로 일어날 것이라고 경고했다.

*참조한 원본 글: https://www.techworm.net/2024/04/google-fires-python-flutter-dart-teams.html

사이버 보안 회사인 Securonix가 가짜 취업 면접을 구실로 가짜 npm 패키지를 사용하여 소프트웨어 개발자를 표적으로 삼고 Python 기반 원격 액세스 트로이 목마(RAT)를 다운로드하도록 속이는 새로운 사회 공학 공격 캠페인을 발견했습니다.

'DEV#POPPER'라는 이름으로 해당 활동을 추적한 Securonix 위협 연구팀은 관찰된 전술을 토대로 이 캠페인을 북한 위협 행위자와 연관시킨 것으로 알려졌습니다.

“이러한 사기 인터뷰 중에 개발자는 GitHub와 같이 합법적인 것으로 보이는 소스에서 소프트웨어를 다운로드하고 실행하는 작업을 수행하라는 요청을 받는 경우가 많습니다. 이 소프트웨어에는 일단 실행되면 개발자의 시스템을 손상시키는 악성 Node JS 페이로드가 포함되어 있습니다.” 보안 연구원 Den Iuzvyk, Tim Peck 및 Oleg Kolesnikov가 블로그 게시물에서 밝혔습니다.

그러나 위협 행위자의 목적은 대상을 속여 시스템 정보를 수집하고 호스트에 대한 원격 액세스를 가능하게 하는 악성 소프트웨어를 다운로드하도록 하는 것입니다.

첫 번째 단계에서는 소프트웨어 개발자 자리를 채우겠다는 제안으로 위장한 GitHub의 zip 아카이브가 면접관(공격자)이 다운로드할 수 있도록 면접 대상자(이 경우 개발자)에게 전송됩니다. 아카이브에는 README.md와 Frontend 및 Backend 디렉터리가 포함된 합법적인 것처럼 보이는 NPM(노드 패키지 관리자) 패키지가 포함되어 있습니다.

개발자가 악성 NPM 패키지를 실행하면 난독화된 JavaScript 파일("imageDetails.js")이 'curl' 명령을 사용하여 NodeJS 프로세스(node.exe)를 통해 실행됩니다. 첫 번째 단계에서 악성 스크립트의 목적은 단순히 외부 서버에서 추가 아카이브(“p.zi”)를 다운로드하는 것입니다.

아카이브 내부에는 RAT 역할을 하는 숨겨진 Python 파일(".npl")인 다음 단계 페이로드가 있습니다. 운영 체제 설정에 따라 이 Python 파일은 사용자에게 표시되지 않을 수도 있고 숨겨지지 않을 수도 있습니다.

RAT가 피해자의 시스템에서 활성화되면 감염된 컴퓨터에서 시스템 및 네트워크 정보를 수집한 다음 이 데이터를 명령 및 제어(C2) 서버로 보냅니다. 여기에는 OS 유형, 호스트 이름, OS 릴리스 버전, OS 버전, 사용자 이름이 포함됩니다. 로그인한 사용자의 MAC 주소와 사용자 이름을 해싱하여 생성된 장치의 고유 식별자(uuid)입니다.

Securonix 분석가에 따르면 RAT는 다음 기능을 지원합니다.

• 네트워킹 및 세션 생성은 지속적인 연결에 사용됩니다.
• 파일 시스템 기능은 디렉터리를 탐색하고, 제외할 특정 확장자와 디렉터리를 기준으로 파일을 필터링하고, 특정 파일이나 데이터를 검색하고 훔치는 기능을 합니다.
• 파일 시스템 검색 및 셸 명령 실행을 포함하여 시스템 셸 명령 및 스크립트 실행을 허용하는 원격 명령 실행입니다.
• 문서 및 다운로드와 같은 다양한 사용자 디렉터리에서 직접 FTP 데이터를 추출합니다.
• 클립보드 및 키 입력 로깅에는 클립보드 내용과 키 입력을 모니터링하고 추출하는 기능이 포함되어 있습니다.

연구원들은 “사회 공학을 통해 발생하는 공격의 경우 특히 면접과 같이 강렬하고 스트레스가 많은 상황에서 보안 중심의 사고방식을 유지하는 것이 중요합니다.”라고 덧붙였습니다.

"DEV#POPPER 캠페인 배후의 공격자들은 상대방이 매우 산만하고 훨씬 더 취약한 상태에 있다는 것을 알고 이를 악용합니다."

Securonix에서는 가짜 취업 기회가 미끼로 사용되어 사람들을 맬웨어에 감염시키는 경우가 많으므로 각별히 주의할 것을 권장합니다.

혹시 모르시는 분들을 위해 말씀드리자면, 2023년 11월 말 Palo Alto Networks Unit 42 연구원은 북한 정부가 후원하는 위협 행위자와 연계된 구직 활동을 표적으로 하는 두 개의 별도 캠페인을 발견했습니다.

첫 번째 캠페인인 "전염성 인터뷰"에서는 위협 행위자들이 고용주인 것처럼 가장하여 인터뷰 프로세스를 통해 소프트웨어 개발자가 악성 코드를 설치하도록 유인하여 다양한 유형의 도난 가능성을 만들었습니다.

반면, 두 번째 캠페인인 "Wagemole"은 금전적 이익과 간첩 가능성이 있는 미국 및 기타 지역에 기반을 둔 조직에 무단 채용을 모색했습니다.

*참조한 원본 글: https://www.techworm.net/2024/04/developers-with-fake-job-offer-malware.html