Claude AWS 출시와 npm 공급망 사고 대응 #17
오늘의 레터
Anthropic, AWS용 Claude Platform 정식 출시
- Anthropic이 5월 11일 Claude Platform on AWS를 정식 출시하고 AWS 고객 대상 접근 경로를 공개함
- AWS IAM 인증, CloudTrail 감사 로그, 단일 AWS 청구서 연동을 제공하며 기존 AWS 커밋 차감 처리도 지원함
- 네이티브 Claude API의 전체 기능을 AWS 경로로 제공하며, 신규 기능과 베타 기능도 출시 당일 동일하게 반영됨
- Claude Managed Agents 베타, Advisor strategy 베타, 웹 검색·웹 페치, 코드 실행, Files API 베타, Skills 베타, MCP 커넥터 베타를 포함함
- Claude Console도 함께 제공되며 프롬프트 개선기, 프롬프트 생성기, 평가 도구를 사용할 수 있음
- Claude Opus 4.7, Sonnet 4.6, Haiku 4.5를 지원하고 이후 신규 모델도 플랫폼 출시와 동시에 추가될 예정임
- 서비스는 대부분의 AWS 상용 리전에서 제공되며 글로벌·미국 추론 지리 옵션을 지원함
- Amazon Bedrock과 달리 Anthropic이 서비스를 운영하고 데이터는 AWS 경계 밖에서 처리되며, Bedrock은 AWS가 데이터 처리자 역할을 유지함
원문: claude.com
참고: aws.amazon.com · cloudcomputing-news.net · thenewstack.io
TanStack, npm 공급망 침해 포스트모템 공개
- TanStack가 5월 11일 발생한 npm 공급망 침해 사고 포스트모템을 공개함
- 공격자는 19:20~19:26 UTC 사이 42개 @tanstack 패키지에 악성 버전 84개를 게시함
- 침해 경로는 pull_request_target 악용, GitHub Actions 캐시 오염, 러너 메모리의 OIDC 토큰 추출 조합이었음
- npm 게시 워크플로 자체 침해와 npm 토큰 탈취는 확인되지 않았다고 설명함
- 악성 버전 설치 시 optionalDependencies와 prepare 스크립트를 통해 난독화된 router_init.js가 실행됨
- 페이로드는 AWS·GCP·Kubernetes·Vault·GitHub·npm·SSH 자격 증명 수집과 외부 전송 기능을 포함함
- StepSecurity 소속 연구자 ashishkurmi가 약 20분 내 공개 탐지했고, 영향 버전은 모두 deprecated 처리됨
- TanStack는 5월 11일 영향 버전을 설치한 경우 설치 호스트를 침해 가능 상태로 보고 클라우드·GitHub·npm·SSH 자격 증명 교체를 권고함
원문: tanstack.com
참고: snyk.io · cybersecuritynews.com · stepsecurity.io
조코레터는 개발자와 만드는 사람을 위해 AI, 소프트웨어, 제품 흐름을 한국어로 정리합니다.
#Anthropic #TanStack
