2026년 5월 20일, GitHub은 공격자들이 약 3,800개의 내부 코드 저장소에서 데이터를 훔쳤다고 확인했습니다. 침입 경로는 GitHub 서버의 제로데이 취약점이 아니었습니다. 한 직원의 노트북에 설치된 오염된 VS Code 확장 프로그램이었습니다. 이 확장 프로그램은 개발자와 동일한 파일 시스템 권한으로 실행되었고, 접근 가능한 소스 코드, 구성 파일, 작업 공간의 자격 증명을 읽을 수 있었습니다. API 키를 보호하려면 결론은 단순합니다. 가장 약한 연결 고리는 클라우드가 아니라 개발자 머신과 그 위에서 실행되는 도구입니다.

오늘 Apidog 사용해 보기

요약 (TL;DR)

손상된 IDE 확장 프로그램이나 유출된 저장소로부터 API 키를 보호하려면 실제 자격 증명을 개발 도구가 읽을 수 있는 위치에 두지 않아야 합니다.

실행할 작업은 다음과 같습니다.