Cremit
/incidentsfield log
탐지캠페인유출지패턴LLM사고 사례방법론
↺rss↗cremit.io

incidents.cremit.io

실제 발생한 비인간 식별자(NHI) 크리덴셜 유출 사고를 정리한 인덱스. 운영: Cremit

둘러보기

  • 전체 사고
  • npm 공급망
  • CI/CD 침해
  • 방법론

구독

  • RSS 피드
  • @cremit_io
  • GitHub
// 상태
모니터 가동중
// 빌드
2026-07-04
// 출처
cremit · 서울, 대한민국
// 라이선스
CC BY 4.0

© 2026 Cremit. 출처 표시 시 자유롭게 재사용 가능.

home/campaigns/npm/rojoedjhdopdrhjzdhfojzdopthj

// publisher 캠페인 · npm

rojoedjhdopdrhjzdhfojzdopthj

npm의 rojoedjhdopdrhjzdhfojzdopthj 계정이 publish한 catch 패키지 전체와, registry가 현재 노출하는 author·maintainer 정보. 같은 이메일이나 이름이 여러 패키지에 걸쳐 등장하면, 한 명이 여러 throwaway 계정을 운영한다는 강한 증거입니다.

↗npmjs.com publisher↗pypi.org user
패키지
1
고유 이름 수
탐지 이벤트
5
버전 × 이름
blast
—
주간 다운로드 합계
활동 기간
2026-06-06 → 2026-06-06
최초 → 최근 탐지

// publisher OSINT

이 계정 자체에 대한 시그널. 활동 기간이 짧으면 throwaway 가능성이 큽니다. 이메일 도메인을 보면 단발 webmail인지 진짜 조직 메일인지 한눈에 갈리고, 같은 핸들이 여러 registry에 있으면 같은 운영자라고 볼 강한 근거가 됩니다. GitHub 링크가 잡히면 실명 식별까지 곧장 이어집니다.

npm 활동
  • registry 패키지 수: 2
  • 최초 publish: 2026-06-06
  • 최근 publish: 2026-07-03
  • 활동 기간: 27일
다른 registry의 같은 핸들
  • npm /~rojoedjhdopdrhjzdhfojzdopthj: 존재함 ↗
  • pypi /user/rojoedjhdopdrhjzdhfojzdopthj: 존재함 ↗
  • github.com/rojoedjhdopdrhjzdhfojzdopthj: 없음
이메일 도메인
  • gmail.com×1webmail

// exfil path

what is read → where it ships
steals
  • ● AI API keys
  • ● GitHub PAT
  • ● Discord tokens
  • ● Slack tokens
  • ● SSH keys
  • ○ home dir
  • ○ system info
  • ○ clipboard
  • ○ fs recursive read
→
sends to
  • ⚙ reverse shell(fetches + executes remote payload)

Targets resolved from static-analysis flags; destinations extracted from the captured code excerpt. Full list + structured fields available in the IOC panel below.

// 패턴 풋프린트

캠페인 전반에서 어떤 정적 분석 플래그가 얼마나 자주 매칭됐는지. "이 캠페인이 결국 어떤 종류의 stealer인가"에 대한 요약 답.

  • ×1
  • ×1
  • ×1
  • ×1
  • ×1
  • ×1
  • ×1
  • ×1
  • ×1
  • ×1
  • ×1
  • ×1

// npm에 등록된 전체 활동

이 계정이 지금 registry에 올려둔 모든 패키지 (최신순). ● Cremit 파이프라인이 catch · ○ 아직 미검출.1/2 catch.

  • ○
    proofmesh-core@ 1.0.0-rc.1

    The trust, contract, and settlement layer for autonomous agents and machine work. Receipts or it didn't happen.

    2026-07-03
  • ●
    @ 0.1.4

    Open-source coding-agent CLI. Terminal-first, multi-agent, self-improving. Supports OpenAI, Anthropic, Gemini, Ollama, and 13 more providers.

    2026-06-06

// 이 캠페인의 패키지

고유 이름 1개 · 최신순
  • ↳ author:maintainers: rojoedjhdopdrhjzdhfojzdopthj <weemadscotsman38@gmail.com>↗ registry
reads-env-vars
child-process-spawn
reads-ai-api-keys
public-github-push
reads-homedir
reads-system-info
reverse-shell
clipboard-access
py-pip-install-runtime
reads-github-tokens
fs-recursive-read
reads-discord-tokens
purpclaw
AUTO-PUBLISHED/kitchen-sink · 8/npm/2026-06-06

purpclaw5 versions·0.1.0→0.1.4

by rojoedjhdopdrhjzdhfojzdopthj

Open-source coding-agent CLI. Terminal-first, multi-agent, self-improving. Supports OpenAI, Anthropic, Gemini, Ollama, and 13 more providers.

steals →GitHub PATSSH keysAI API keysDiscord tokensSlack tokens
reads-env-varschild-process-spawnreads-ai-api-keyspublic-github-pushreads-homedirreads-system-inforeverse-shellclipboard-access+7

→ 정적 분석기가 reverse-shell 패턴 검출 — 설치 경로에 원격 코드 실행 형태가 그대로 드러남.

weekly
—
/wk
llm verdict
malicious 0.95
h-score
68
patterns
15
size
6.5 MB
versions
5