The Hacker News 발췌문
Discord Invite Link Hijacking Delivers AsyncRAT and Skuld Stealer Targeting Crypto Wallets (2025-06-14)
- 새로운 악성코드 캠페인이 디스코드 초대 시스템의 취약점을 악용하여 Skuld라는 정보 탈취 악성코드와 AsyncRAT 원격 접속 트로이목마를 유포하고 있습니다.
- 체크포인트는 기술 보고서에서 "공격자는 허위 링크 등록을 통해 링크를 탈취하여 사용자를 신뢰할 수 있는 출처에서 악성 서버로 은밀하게 리디렉션할 수 있었습니다."라고 밝혔습니다. "공격자는 ClickFix 피싱 기법, 다단계 로더, 시간 기반 회피 기법을 결합하여 AsyncRAT과 암호화폐 지갑을 표적으로 하는 맞춤형 Skuld Stealer를 은밀하게 유포했습니다."
- 디스코드 초대 메커니즘의 문제점은 공격자가 만료되거나 삭제된 초대 링크를 탈취하여 의심하지 않는 사용자를 자신이 통제하는 악성 서버로 은밀하게 리디렉션할 수 있다는 것입니다. 이는 한때 신뢰받고 포럼이나 소셜 미디어 플랫폼에서 공유되었던 디스코드 초대 링크가 사용자를 의도치 않게 악성 사이트로 유도할 수 있음을 의미합니다.
- 뉴스보기
Apple Zero-Click Flaw in Messages Exploited to Spy on Journalists Using Paragon Spyware (2025-06-13)
- Apple은 메시지 앱에 존재하는 최근 패치된 보안 결함이 민간 사회 구성원을 대상으로 한 정교한 사이버 공격에 적극적으로 악용되고 있다고 밝혔습니다.
- CVE-2025-43200으로 추적되는 이 취약점은 2025년 2월 10일 iOS 18.3.1, iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1, visionOS 2.3.1의 일부로 해결되었습니다.
- Apple은 공지를 통해 "iCloud 링크를 통해 공유된 악의적으로 제작된 사진이나 비디오를 처리할 때 로직 문제가 발생했습니다."라고 밝히며, 이 취약점은 개선된 검사를 통해 해결되었다고 덧붙였습니다.
- 뉴스보기
AI Agents Run on Secret Accounts — Learn How to Secure Them in This Webinar (2025-06-12)
- AI는 코딩 방식부터 판매 방식, 보안 방식까지 모든 것을 변화시키고 있습니다. 하지만 대부분의 대화가 AI의 능력에 집중하는 반면, 이 대화는 AI가 무엇을 할 수 있는지에 초점을 맞춥니다. 물론, 여러분이 주의를 기울이지 않는다면 말입니다.
- 모든 AI 에이전트, 챗봇, 또는 자동화 스크립트 뒤에는 API 키, 서비스 계정, OAuth 토큰과 같은 점점 더 많은 비인간적인 신원들이 숨어 있으며, 이러한 신원들은 백그라운드에서 조용히 작동합니다.
- 그리고 문제는 다음과 같습니다.
눈에 보이지 않습니다.
강력합니다.
보안이 취약합니다.
- 뉴스보기
KISA보안공지
기타 동향
딥시크 R1 위장한 멀웨어, 암호화폐 지갑 노린다 (2025-06-13)
- 구글 광고 통해 피싱사이트로 유인…브라우저 트래픽 감청·정보 탈취
- 글로벌 감염 확산…카스퍼스키 “공식 경로 외 다운로드 주의”
- 뉴스보기
中 역대 최대 40억건 개인정보 유출...알리페이·위챗 정보 고스란히 (2025-06-09)
- 40억건 개인정보 노출...중국 단일 출처 유출 역대 최대
- 위챗·알리페이 등 주요 플랫폼 정보 대량 유출
- 데이터 악용 우려...정교한 사기·정보전까지 확산 가능성
- 뉴스보기
피싱키트 25달러면 누구나 해커된다?평가한다 (2025-06-12)
- 다크웹과 메신저 통해 유통되는 ‘피싱 키트’ 악용 급증
- 노드VPN, 사이버 공격 위협성 경고하며 위협 수칙 제시
- 뉴스보기
원격지원
목록