🛠️ Developer Tools

Protect your enterprise now from the Shai-Hulud worm and npm vulnerability in 6 actionable steps

npm·PyPI 패키지 172개가 악성 버전으로 오염된 ‘Shai-Hulud’ 캠페인은 단순 패키지 삭제로 끝나지 않고, VS Code·Claude Code·systemd/LaunchAgent에 지속성을 심는 공급망 공격입니다. 특히 SLSA Level 3 provenance가 있어도 워크플로 스코프 설정이 느슨하면 뚫릴 수 있다는 점이 핵심이라, 국내 개발팀도 CI/CD 권한 범위·토큰 회수 순서·개발자 워크스테이션 격리를 바로 점검해야 합니다.

VentureBeat

Typescript 7.0 RC버전이 배포되었습니다.

Typescript 7.0 RC버전이 배포되었습니다.

TypeScript 7.0 RC가 공개됐고, 가장 큰 변화는 컴파일러 코드베이스를 Go로 포팅해 TypeScript 6.0 대비 최대 10배 빠른 성능을 내는 새 기반으로 바뀐 점입니다. Microsoft와 Bloomberg, Figma, Google, Notion, Vercel 등 여러 대형 코드베이스에서 이미 검증됐고, npm install -D typescript@rc로 바로 테스트할 수 있어 프런트엔드·풀스택 개발자라면 빌드 시간과 에디터 반응성 개선을 직접 체감할 가능성이 큽니다.

GeekNews

TypeScript v7 Released

TypeScript v7 Released

Microsoft가 TypeScript 7을 공식 출시했습니다. Go로 다시 구현한 네이티브 컴파일러 덕분에 전체 빌드가 보통 8~12배 빨라지고, LSP 지원과 멀티스레딩으로 에디터 반응성도 크게 개선됐습니다. 프런트엔드·풀스택 개발팀이 많은 한국 조직 입장에선 CI 시간, 로컬 피드백 루프, AI 코딩 에이전트의 반복 속도까지 한꺼번에 줄일 수 있는 실질적인 변화입니다.

Hacker News Best

VoidZero, Cloudflare 합류

VoidZero, Cloudflare 합류

Vite·Vitest·Rolldown·Oxc를 만드는 VoidZero 팀 전체가 Cloudflare에 합류합니다. Cloudflare는 이들 프로젝트가 MIT 라이선스, 벤더 중립성, 커뮤니티 중심 운영을 유지한다고 강조했고, 추가 리소스와 100만 달러 규모의 오픈소스 지원도 약속했습니다. 프런트엔드 빌드 체인의 핵심 인프라가 더 큰 후원을 받게 된 사건이라, 한국 웹 개발자들에겐 Vite 생태계의 장기 안정성과 Cloudflare의 개발자 플랫폼 영향력 확대를 같이 봐야 할 뉴스예요.

Hacker News Best

GitHub, 악성 VS Code 확장 프로그램으로 내부 저장소 3,800개 유출 확인… Microsoft Python SDK 노린 공급망 웜 확산

악성 VS Code 확장 프로그램이 GitHub 직원 기기를 감염시키면서 약 3,800개의 GitHub 내부 저장소가 유출된 것으로 확인됐습니다. 같은 시기에 639개 악성 npm 버전, Microsoft 관련 Python SDK 오염까지 이어져 개발자 공급망 전반의 취약성이 드러난 사건이고, 한국 기업들도 VS Code 확장·PyPI·npm 신뢰 체인 검증과 비밀값 회전 체계를 다시 점검해야 할 시점입니다.

VentureBeat

Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them

한 공격자가 Flippa에서 인수한 30개 이상 워드프레스 플러그인에 백도어를 심었고, 이 중 31개가 WordPress.org에서 폐쇄됐다는 공급망 공격 분석입니다. 특히 악성코드가 wp-config.php에 숨어들고, C2 도메인을 이더리움 스마트컨트랙트로 해석해 우회했다는 점이 핵심이라서, 한국 웹서비스 운영자도 플러그인 인수·유지보수 이력과 포스드 업데이트 이후 잔존 악성코드 점검이 얼마나 중요한지 보여줍니다.

Hacker News Best

Mini Shai-Hulud의 귀환: npm 생태계를 강타한 자가 전파형 공급망 공격 (5/11)

npm 생태계에서 자가 전파형 웜 ‘Mini Shai-Hulud’가 다시 등장해 @tanstack/*를 포함한 여러 패키지 배포 파이프라인을 장악했고, GitHub Actions의 OIDC 토큰 탈취를 통해 악성 버전을 정상 릴리스처럼 퍼뜨렸습니다. 특히 유효한 SLSA Build Level 3 attestation까지 붙은 악성 패키지가 나왔다는 점이 충격적이라서, 한국 개발팀도 GitHub Actions·OIDC·캐시 오염·시크릿 노출 대응을 바로 점검할 필요가 있습니다.

GeekNews

Mini Shai-Hulud 또 공격… npm 패키지 314개 감염

npm 생태계에서 317개 패키지, 637개 악성 버전이 22분 만에 배포된 대규모 공급망 공격이 발생했습니다. AWS·Kubernetes·GitHub 토큰 탈취, CI/OIDC 악용, Sigstore 서명 오용, Claude Code·Codex 지속성 주입까지 포함해 영향 범위가 매우 넓어, Node.js와 프런트엔드 의존성이 많은 한국 개발팀도 즉시 버전 고정과 감사가 필요합니다.

Hacker News Best

오픈소스 패키지 치명적 취약점으로 수백만 AI 에이전트 위협

Starlette의 Host 헤더 처리 취약점(CVE-2026-48710, BadHost)이 FastAPI, vLLM, LiteLLM, MCP 서버 등 Python AI 서비스 전반에 영향을 주면서 수백만 개 규모의 AI 에이전트와 서버가 노출될 수 있다는 경고입니다. 이미 1.0.1 패치가 나왔고 외부 노출 서버는 방화벽 설정까지 점검해야 해서, 한국의 AI 백엔드·플랫폼 엔지니어라면 바로 확인해야 할 보안 이슈입니다.

Ars Technica

해커 그룹, 전례 없는 규모로 오픈소스 코드 오염시키고 있다

오픈소스 공급망 공격 그룹 TeamPCP가 수백 개 패키지에 악성코드를 심고, 이번엔 VS Code 확장을 경유해 GitHub 내부 저장소 약 3,800~4,000개까지 침해한 정황이 공개됐습니다. 개발자 도구 체인 자체가 공격면이 되고 있다는 점에서 한국 개발팀도 VS Code 확장, OSS 의존성, 서드파티 패키지 검증과 권한 통제를 다시 점검해야 하는 뉴스입니다.

Ars Technica

Dirty Frag: 범용 Linux LPE(로컬 권한 상승) 취약점

‘Dirty Frag’는 주요 리눅스 배포판 전반에서 로컬 권한 상승으로 즉시 root 권한을 탈취할 수 있다고 주장하는 범용 LPE 공개입니다. 아직 패치나 CVE가 없는 상태에서 익스플로잇 코드와 임시 완화 명령까지 함께 나와, 인프라·플랫폼·보안 엔지니어라면 바로 영향 범위를 점검해야 하는 사안입니다.

GeekNews

Linux bitten by second severe vulnerability in as many weeks

리눅스 커널의 ‘Dirty Frag’ 취약점은 저권한 사용자나 컨테이너에서 루트 권한 탈취를 가능하게 하며, 이미 공개된 익스플로잇이 배포돼 실제 악용 징후도 포착됐습니다. Debian·Fedora 등 일부 배포판은 패치를 내놨지만 아직 반영 전인 환경도 많아, 한국의 클라우드·호스팅·사내 인프라 팀은 커널 업데이트와 멀티테넌트 환경 점검을 서둘러야 합니다.

Ars Technica

Postgres를 Rust로 재작성, 이제 Postgres 회귀 테스트 100% 통과

Postgres를 Rust로 재작성, 이제 Postgres 회귀 테스트 100% 통과

pgrust는 Postgres 18.3과 디스크 호환을 유지한 채 Rust로 데이터베이스를 다시 구현한 프로젝트로, 4만6천 개가 넘는 회귀 쿼리를 맞췄고 최신 개발 버전은 회귀 테스트 100% 통과를 주장합니다. 연결당 프로세스 대신 스레드 모델, 트랜잭션 워크로드 50% 성능 향상, 분석 쿼리에서 Postgres 대비 최대 300배 빠르다고 밝혀서, DB 인프라를 다루는 한국 개발자들에게 꽤 주목할 만한 실험입니다.

GeekNews

단 20MB HTTP 패킷으로 Django 서버를 1분간 먹통 만드는 취약점이 공개되었습니다 (CVE-2026-33033)

Django의 MultiPartParser에서 base64 multipart 본문과 공백 처리 로직이 겹치며, 20MB 요청 하나로 워커를 약 1분 점유할 수 있는 Pre-Auth CPU 고갈 취약점(CVE-2026-33033)이 공개됐습니다. 특히 CSRF 미들웨어가 view 진입 전에 `request.POST`를 읽어 파서를 자동 실행하기 때문에 인증 엔드포인트도 방어가 어렵고, 일반적인 gunicorn 4~16 worker 구성에서는 수십 개 요청만으로 사실상 서비스 마비가 가능합니다. Django를 운영하는 국내 팀이라면 즉시 패치 여부와 업로드 제한, 프록시 설정을 함께 점검해야 할 이슈입니다.

GeekNews

Salesforce launches Headless 360 to turn its entire platform into infrastructure for AI agents

세일즈포스가 TDX에서 ‘Headless 360’을 공개하며 자사 플랫폼 기능 전반을 API, MCP 툴, CLI로 노출하겠다고 발표했습니다. 즉시 100개 이상의 새 툴·스킬을 제공하고 Claude Code, Cursor, Codex 같은 코딩 에이전트가 브라우저 없이도 세일즈포스 데이터·워크플로·비즈니스 로직에 접근할 수 있게 한 점이 핵심입니다. 한국의 엔터프라이즈·SI·CRM 개발자에게는 ‘SaaS UI 중심’에서 ‘에이전트가 직접 조작하는 플랫폼’으로 무게중심이 이동하고 있다는 신호라서 주목할 만합니다.

VentureBeat

pgmicro - SQLite 기반으로 만든 인-프로세스 PostgreSQL

`pgmicro`는 PostgreSQL SQL을 SQLite 바이트코드로 직접 컴파일하는 인-프로세스 DB로, Postgres 파서 호환성과 SQLite 파일 포맷 호환성을 동시에 노립니다. AI 에이전트처럼 짧고 작은 DB를 많이 띄워야 하는 워크로드에 특히 잘 맞아서, 한국 개발자 입장에서도 로컬/에지 환경의 새로운 선택지로 볼 만합니다.

GeekNews

Red Hat 패키지 수십 개, 공식 NPM 채널 통해 백도어 감염

Red Hat의 공식 npm 계정이 탈취돼 30개 이상 패키지에 백도어 웜이 심어졌고, 이 악성코드는 설치 단계에서 GitHub 토큰, npm 토큰, Kubernetes/Vault 자격증명까지 훔친 뒤 다른 계정으로 전파될 수 있습니다. 특히 런타임이 아니라 `npm install` 시점에 감염된다는 점이 치명적이라, 한국 개발팀도 CI/CD 로그 점검과 영향 패키지 전수 조사에 바로 나서야 할 사안입니다.

Ars Technica

pip install torch 한 줄로 끝낸다 — Python 패키징의 오랜 숙제, 드디어 풀리나

NVIDIA·Astral·Quansight가 추진하는 Wheel Next는 CPU/GPU 하드웨어 특성을 설치 시점에 감지해 최적 휠을 자동 선택하게 하려는 차세대 Python 패키징 표준입니다. `uv pip install torch` 한 줄로 맞는 CUDA 빌드를 받는 그림이 현실화되면, PyTorch의 900MB급 휠과 복잡한 설치 문서 문제가 크게 줄 수 있어서 한국 AI/데이터팀에도 영향이 큽니다.

GeekNews

Quack: DuckDB 클라이언트-서버 프로토콜

DuckDB가 공식 클라이언트-서버 프로토콜 ‘Quack’을 공개하면서, 이제 여러 프로세스가 같은 DuckDB 인스턴스에 동시에 쓰기 작업을 할 수 있게 됐습니다. HTTP 기반으로 단순하게 설계됐지만 소규모 트랜잭션부터 대용량 작업까지 커버한다는 점이 핵심이고, 그동안 DuckDB를 운영 환경에 붙일 때 필요했던 우회 RPC 구성을 크게 줄여줄 수 있습니다.

GeekNews

Pixel 10용 0-click 익스플로잇 체인

구글 Project Zero가 Pixel 10에서 0-click 컨텍스트에서 루트 권한까지 이어지는 익스플로잇 체인을 공개했습니다. Dolby 취약점 업데이트와 Tensor G5의 VPU 드라이버 분석, MMIO 매핑 문제 같은 구체적인 공격 기법이 포함돼 있어 안드로이드 보안·시스템 소프트웨어 엔지니어라면 꼭 볼 만한 내용입니다.

GeekNews

sogen - 고성능 Windows & Linux 유저스페이스 에뮬레이터

sogen - 고성능 Windows & Linux 유저스페이스 에뮬레이터

sogen은 Windows와 Linux 프로그램을 실제 OS 없이 실행하는 고성능 유저스페이스 에뮬레이터로, 수천 개의 API를 재구현하는 대신 CPU·syscall 레벨에서 바이너리를 에뮬레이션하고 실제 system DLL을 사용합니다. 메모리·명령어·syscall·API 호출 훅킹, 완전 결정론적 실행, 상태 스냅샷/복원, GDB/IDA 연동까지 지원해 리버싱·보안 분석·샌드박싱 워크플로를 크게 바꿀 수 있는 프로젝트입니다.

GeekNews

Workers Cache

Workers Cache

Cloudflare가 Worker 앞단에 바로 붙는 새로운 tiered cache인 Workers Cache를 출시했습니다. Wrangler 설정 한 줄로 활성화되고, 기존 Cache-Control 헤더와 purge API만으로 제어할 수 있어 CPU 비용 절감과 전 지구적 캐시 응답 최적화를 동시에 노릴 수 있습니다. Edge 앱, SSR, 멀티테넌트 서비스 운영에 관심 있는 한국 개발자라면 실제 아키텍처와 비용 모델이 어떻게 바뀌는지 꼭 볼 만한 업데이트입니다.

Hacker News Best

Bun을 Rust로 다시 작성하기

Bun을 Rust로 다시 작성하기

Bun 창업자가 Bun의 대규모 코드베이스를 Zig에서 Rust로 재작성하게 된 배경과 이유를 직접 설명합니다. 월 2,200만 다운로드 규모의 런타임에서 use-after-free, 메모리 누수 같은 안정성 이슈가 반복됐고, Rust로의 전환은 메모리 안전성과 유지보수성을 크게 끌어올릴 수 있다는 점이 핵심입니다. Bun을 쓰는 한국 개발자나 인프라 팀이라면 향후 성능·안정성·기여 방식 변화까지 함께 봐야 할 글입니다.

GeekNews

Zero-day exploit completely defeats default Windows 11 BitLocker protections

Windows 11 기본 BitLocker 보호를 몇 초 만에 우회할 수 있는 제로데이 ‘YellowKey’가 공개됐고, USB와 WinRE 진입만으로 복호화 키 없이 디스크 전체 접근이 가능하다는 점이 확인됐습니다. 정부·기업 단말에서 널리 쓰이는 기본 보안 가정을 흔드는 이슈라서, 한국 보안팀과 IT 운영팀은 BitLocker 기본 설정 재점검과 물리 접근 통제, 복구 환경 정책을 서둘러 점검할 필요가 있습니다.

Ars Technica

유효한 인증서와 탈취 계정, 공격자들은 어떻게 npm의 마지막 신뢰 신호를 뚫었나

npm에서 633개 악성 패키지 버전이 Sigstore provenance 검증을 통과했고, Nx Console 확장도 탈취된 계정으로 배포돼 약 40분 동안 6,000회가량 활성화된 것으로 나타났습니다. 핵심은 서명이 ‘CI에서 빌드됐다’는 사실만 보장할 뿐, 게시한 사람이 진짜 권한자인지는 증명하지 못한다는 점입니다. 한국 개발팀도 npm·VS Code·CI/CD 기반 공급망 보안을 ‘서명 있으면 안전’ 수준에서 끝내지 말고, 계정 보호·이상 배포 탐지·자동 업데이트 통제까지 함께 봐야 합니다.

VentureBeat

Zig 0.16.0 릴리즈

Zig 0.16.0은 244명의 기여자와 1,183개 커밋이 반영된 대형 릴리즈로, 이번 버전의 핵심은 파일시스템·네트워킹·타이머를 하나로 묶는 새로운 `std.Io` 인터페이스입니다. 여기에 LLVM 백엔드 incremental compilation, 타입 해석 구조 개편, 내장 퍼저 강화, 여러 breaking change까지 포함돼 Zig를 실제로 쓰는 개발자라면 마이그레이션과 설계 방향을 꼭 확인해야 합니다. 저수준 언어·툴체인에 관심 있는 국내 개발자에게도 의미가 큰 업데이트입니다.

GeekNews

사후 분석: TanStack npm 공급망 침해

TanStack는 42개 @tanstack 패키지의 84개 악성 버전이 배포된 npm 공급망 침해 사고를 공개하고, GitHub Actions 캐시 오염·OIDC 토큰 메모리 추출·pull_request_target 악용이 결합된 공격 경로를 자세히 설명했습니다. 영향을 받은 버전을 설치한 개발자에게 AWS·GCP·Kubernetes·Vault·GitHub·npm·SSH 자격 증명 교체까지 권고한 만큼, 한국 개발팀도 CI/CD와 오픈소스 배포 파이프라인 점검에 바로 참고할 가치가 큽니다.

GeekNews

ssh-keysign-pwn - Linux 0-day로 비권한 사용자가 root 소유 파일을 읽는 PoC

리눅스 커널의 `__ptrace_may_access()` 처리 결함과 `ssh-keysign`/`chage`의 파일 디스크립터 관리 문제를 조합해, 비권한 사용자가 `/etc/shadow`나 SSH 호스트 키 같은 root 소유 파일을 읽을 수 있는 PoC가 공개됐습니다. Debian, Ubuntu, Arch, CentOS 등 여러 배포판에서 재현됐고 CVE-2026-46333로 연결돼 있어, 한국의 인프라·플랫폼·보안 팀이라면 커널 패치와 setuid 바이너리 점검을 바로 검토할 만한 사안입니다.

GeekNews

또다시 Microsoft 사칭 패키지 공격…자격 증명 탈취 악성코드 발견

또다시 Microsoft 사칭 패키지 공격…자격 증명 탈취 악성코드 발견

Microsoft 공식 오픈소스 패키지 73개가 악성 코드로 오염돼, AI 코딩 에이전트가 이를 열었을 때 AWS·Azure·GCP·Kubernetes·비밀번호 관리자 등 자격증명을 훔치는 공격이 확인됐습니다. 특히 OIDC 토큰과 SLSA 신뢰 체인까지 노린 점이 핵심이라, 패키지 신뢰 모델 자체를 다시 점검해야 한다는 경고로 읽힙니다. 국내 개발팀도 CI/CD 비밀값 관리, 패키지 서명 검증, 에이전트 기반 개발 환경 격리를 서둘러야 할 뉴스입니다.

Ars Technica

EC2 안 Firecracker VM으로 브라우저를 1초 미만에 시작하기

EC2 안 Firecracker VM으로 브라우저를 1초 미만에 시작하기

Browser Use가 클라우드 브라우저 세션을 EC2 위 Firecracker VM으로 1초 미만에 띄우고, 비용도 브라우저 시간당 0.06달러에서 0.02달러로 낮춘 인프라 재구축 과정을 공개했습니다. 격리·속도·비용이라는 상충 목표를 어떻게 풀었는지 설명해줘서, 브라우저 자동화·에이전트 실행 환경·샌드박싱 인프라를 다루는 한국 개발자에게 특히 참고할 만합니다.

GeekNews