Cremit
/incidentsfield log
탐지캠페인유출지패턴LLM사고 사례방법론
↺rss↗cremit.io

incidents.cremit.io

실제 발생한 비인간 식별자(NHI) 크리덴셜 유출 사고를 정리한 인덱스. 운영: Cremit

둘러보기

  • 전체 사고
  • npm 공급망
  • CI/CD 침해
  • 방법론

구독

  • RSS 피드
  • @cremit_io
  • GitHub
// 상태
모니터 가동중
// 빌드
2026-07-04
// 출처
cremit · 서울, 대한민국
// 라이선스
CC BY 4.0

© 2026 Cremit. 출처 표시 시 자유롭게 재사용 가능.

home/campaigns/gh-actions/barbaria888

// publisher 캠페인 · gh-actions

barbaria888

GitHub Actions의 barbaria888 계정이 publish한 catch 패키지 전체와, registry가 현재 노출하는 author·maintainer 정보. 같은 이메일이나 이름이 여러 패키지에 걸쳐 등장하면, 한 명이 여러 throwaway 계정을 운영한다는 강한 증거입니다.

↗npmjs.com publisher↗pypi.org user
패키지
1
고유 이름 수
탐지 이벤트
8
버전 × 이름
blast
—
주간 다운로드 합계
활동 기간
2026-06-07 → 2026-06-07
최초 → 최근 탐지

// publisher OSINT

이 계정 자체에 대한 시그널. 활동 기간이 짧으면 throwaway 가능성이 큽니다. 이메일 도메인을 보면 단발 webmail인지 진짜 조직 메일인지 한눈에 갈리고, 같은 핸들이 여러 registry에 있으면 같은 운영자라고 볼 강한 근거가 됩니다. GitHub 링크가 잡히면 실명 식별까지 곧장 이어집니다.

gh-actions 활동

이 에코시스템에서는 사용할 수 없습니다 (registry search 미지원).

다른 registry의 같은 핸들
  • npm /~barbaria888: 없음
  • pypi /user/barbaria888: 존재함 ↗
  • github.com/barbaria888: 존재함 ↗

// exfil path

what is read → where it ships
steals

(no specific credential-read flag matched)

→
sends to
  • ⚙ curl | bash(fetches + executes remote payload)

Targets resolved from static-analysis flags; destinations extracted from the captured code excerpt. Full list + structured fields available in the IOC panel below.

// 패턴 풋프린트

캠페인 전반에서 어떤 정적 분석 플래그가 얼마나 자주 매칭됐는지. "이 캠페인이 결국 어떤 종류의 stealer인가"에 대한 요약 답.

  • ×1
  • ×1

// 이 캠페인의 패키지

고유 이름 1개 · 최신순
curl-pipe-bash
py-pip-install-runtime
AUTO-PUBLISHED/gh-actions/2026-06-07

barbaria888/SupplyChain-Guardian-AI-Github_Action8 versions·2026-06-07T08:53:02→2026-06-07T11:33:35

by barbaria888

Autonomous CVE remediation system with AI patching, runtime validation, KinD testing, and zero-trust deployment gates.

curl-pipe-bashpy-pip-install-runtime

→ 정적 분석기가 curl-pipe-bash 패턴 검출 — 설치 경로에 원격 코드 실행 형태가 그대로 드러남.

weekly
—
/wk
llm verdict
malicious 0.95
h-score
72
patterns
2