incidents.cremit.io·리서치 인덱스·v1

크리덴셜을 훔치는
공급망 패키지,인덱스.

npm, PyPI, GitHub Actions, VS Code 마켓플레이스, Hugging Face에서 크리덴셜을 빼가는 패키지만 따로 추려서 모읍니다. AWS 키, npm/PyPI 토큰, 브라우저 쿠키, 지갑 시드, AI API 키, CI 시크릿. 각 항목마다 실제 유출 코드를 그대로 인용해 둡니다.

이름만 베낀 타이포스쿼트, 페이로드가 없는 단순 도배 패키지, 개발자 머신의 크리덴셜을 건드리지 않는 지갑 드레이너는 다루지 않습니다. 실제로 무언가를 훔치려고 만든 패키지만 들어옵니다. 포함 기준은 방법론 페이지에 정리해 두었습니다.

전체 탐지

336

자동 발행 누계

최근 7일

336

자동 발행

336

고신뢰 악성

최근 30일

336

$탐지 보기 패턴 큐레이션 아카이브 방법론

모니터 가동중·마지막 분석 2026-05-19·분석됨 336·npm 335/pypi 1/github actions 0/vs code marketplace 0/hugging face 0출처: npm rss · pypi rss · gh actions · vscode 마켓플레이스 · huggingface · ossf/malicious-packages

크리덴셜을 훔치는공급망 패키지,인덱스.

크리덴셜을 훔치는공급망 패키지,인덱스.

최근 탐지

stripe-internal-utils@1.0.0

did-00916 versions·11.0.5→11.1.8

collected-forms-embed-js3 versions·1.0.1→1.0.5

pipeline-check@1.1.0

env-security-scanner@1.6.0

공격받는 크리덴셜 영역

Cloud credentials

Source control / registries

Browsers

Crypto wallets

AI tooling

Messaging / chat

큐레이션 사고 사례

AntV npm Account Compromise: Mini Shai-Hulud Wave Hits 323 Packages (May 2026)

Mini Shai-Hulud npm Worm: TanStack, UiPath, Mistral AI and 169 Packages Compromised (May 2026)

microsop npm Cluster: Dependency-Confusion Campaign Targeting Apple Internal CI/CD (2026)

Bitwarden CLI Supply Chain Compromise (2026)

Vercel Context.ai Incident: Environment Variables Accessed via Compromised AI Tool (2026)

@solana/web3.js Private Key Exfiltration (2024)

최근 탐지

stripe-internal-utils@1.0.0

did-00916 versions·11.0.5→11.1.8

collected-forms-embed-js3 versions·1.0.1→1.0.5

pipeline-check@1.1.0

env-security-scanner@1.6.0

공격받는 크리덴셜 영역

Cloud credentials

Source control / registries

Browsers

Crypto wallets

AI tooling

Messaging / chat

큐레이션 사고 사례

AntV npm Account Compromise: Mini Shai-Hulud Wave Hits 323 Packages (May 2026)

Mini Shai-Hulud npm Worm: TanStack, UiPath, Mistral AI and 169 Packages Compromised (May 2026)

microsop npm Cluster: Dependency-Confusion Campaign Targeting Apple Internal CI/CD (2026)

Bitwarden CLI Supply Chain Compromise (2026)

Vercel Context.ai Incident: Environment Variables Accessed via Compromised AI Tool (2026)

@solana/web3.js Private Key Exfiltration (2024)

크리덴셜을 훔치는
공급망 패키지,인덱스.

크리덴셜을 훔치는
공급망 패키지,인덱스.