Cremit
/incidentsfield log
탐지캠페인유출지패턴LLM사고 사례방법론
↺rss↗cremit.io

incidents.cremit.io

실제 발생한 비인간 식별자(NHI) 크리덴셜 유출 사고를 정리한 인덱스. 운영: Cremit

둘러보기

  • 전체 사고
  • npm 공급망
  • CI/CD 침해
  • 방법론

구독

  • RSS 피드
  • @cremit_io
  • GitHub
// 상태
모니터 가동중
// 빌드
2026-07-04
// 출처
cremit · 서울, 대한민국
// 라이선스
CC BY 4.0

© 2026 Cremit. 출처 표시 시 자유롭게 재사용 가능.

home/campaigns/npm/firegrass

// publisher 캠페인 · npm

firegrass

npm의 firegrass 계정이 publish한 catch 패키지 전체와, registry가 현재 노출하는 author·maintainer 정보. 같은 이메일이나 이름이 여러 패키지에 걸쳐 등장하면, 한 명이 여러 throwaway 계정을 운영한다는 강한 증거입니다.

↗npmjs.com publisher↗pypi.org user
패키지
1
고유 이름 수
탐지 이벤트
5
버전 × 이름
blast
—
주간 다운로드 합계
활동 기간
2026-06-05 → 2026-06-05
최초 → 최근 탐지

// publisher OSINT

이 계정 자체에 대한 시그널. 활동 기간이 짧으면 throwaway 가능성이 큽니다. 이메일 도메인을 보면 단발 webmail인지 진짜 조직 메일인지 한눈에 갈리고, 같은 핸들이 여러 registry에 있으면 같은 운영자라고 볼 강한 근거가 됩니다. GitHub 링크가 잡히면 실명 식별까지 곧장 이어집니다.

npm 활동
  • registry 패키지 수: 9
  • 최초 publish: 2026-05-21
  • 최근 publish: 2026-06-18
  • 활동 기간: 28일
다른 registry의 같은 핸들
  • npm /~firegrass: 존재함 ↗
  • pypi /user/firegrass: 존재함 ↗
  • github.com/firegrass: 존재함 ↗
이메일 도메인
  • gmail.com×1webmail

// exfil path

what is read → where it ships
steals
  • ● SSH keys
→
sends to

(no destination string extracted — payload may be dynamic / obfuscated)

Targets resolved from static-analysis flags; destinations extracted from the captured code excerpt. Full list + structured fields available in the IOC panel below.

// 패턴 풋프린트

캠페인 전반에서 어떤 정적 분석 플래그가 얼마나 자주 매칭됐는지. "이 캠페인이 결국 어떤 종류의 stealer인가"에 대한 요약 답.

  • ×1
  • ×1

// npm에 등록된 전체 활동

이 계정이 지금 registry에 올려둔 모든 패키지 (최신순). ● Cremit 파이프라인이 catch · ○ 아직 미검출.0/9 catch.

  • ○
    @proof-computer/proof-cli-liskov@ 0.1.1

    Liskov plugin for the PROOF command line interface.

    2026-06-18
  • ○
    @proof-computer/proof-cli-baran@ 0.3.0

    Baran plugin for the PROOF command line interface.

    2026-06-18
  • ○
    @proof-computer/switchboard-workflows@ 0.1.4

    Executor-neutral Switchboard deployment workflows and host-side helpers.

    2026-06-10
  • ○

// 이 캠페인의 패키지

고유 이름 1개 · 최신순
  • ↳ author:maintainers: firegrass <patrick.mcevoy@gmail.com>↗ registry
@proof-computer/switchboard-express-demo@ 0.2.7

Rich Express demo app for Switchboard launch-demo.

2026-06-08
  • ○
    @proof-computer/switchboard-express@ 0.2.7

    Express adapter for Switchboard Acurast webserver jobs.

    2026-06-08
  • ○
    @proof-computer/switchboard-runtime@ 0.1.6

    Job-side runtime helpers for Switchboard Acurast webserver jobs.

    2026-06-08
  • ○
    @proof-computer/switchboard-fastify@ 0.2.4

    Fastify adapter for Switchboard Acurast webserver jobs.

    2026-06-07
  • ○
    @proof-computer/switchboard-cli@ 0.2.1

    Switchboard CLI for deploying and operating Acurast ingress workloads.

    2026-06-04
  • ○
    @proof-computer/proof-cli@ 0.1.2

    PROOF command line interface.

    2026-05-21
  • reads-ssh-keys
    public-github-push
    AUTO-PUBLISHED/npm/2026-06-05

    @proof-computer/proof-cli-switchboard5 versions·0.2.4→0.2.8

    by firegrass

    Switchboard plugin for the PROOF command line interface.

    steals →SSH keys→ sends tohttps://relay.example
    reads-ssh-keyspublic-github-push
    weekly
    —
    /wk
    h-score
    64
    patterns
    2
    size
    3.4 MB
    versions
    8