SECURITY·중요도 9·2026. 05. 11.

사고 보고서: CVE-2024-YIKES

── KO ──────────────────

CVE-2024-YIKES는 JavaScript 의존성 탈취 공격으로 여러 언어의 공급망에 영향을 미친 사고입니다.

CVE-2024-YIKES 사건은 JavaScript 의존성 탈취가 Rust와 Python의 공급망으로 확산된 사례다. 이 공격으로 인해 피싱을 통해 .npmrc, .pypirc, 그리고 Cargo·Gem 자격 증명이 유출되었다. 특히, vulpine-lz4의 악성 build.rs가 CI 호스트에 영향을 미쳤다.

── EN ──────────────────

CVE-2024-YIKES is a supply chain attack affecting JavaScript, Rust, and Python dependencies.

The CVE-2024-YIKES incident involves the compromise of JavaScript dependencies leading to a supply chain attack affecting Rust and Python ecosystems. This incident resulted in credential leaks via phishing methods, impacting .npmrc, .pypirc, and Cargo/Gem credentials. Notably, a malicious build.rs in vulpine-lz4 impacted CI hosts.

원문 보기 →목록으로