Cremit
/incidentsfield log
탐지캠페인유출지패턴LLM사고 사례방법론
↺rss↗cremit.io

incidents.cremit.io

실제 발생한 비인간 식별자(NHI) 크리덴셜 유출 사고를 정리한 인덱스. 운영: Cremit

둘러보기

  • 전체 사고
  • npm 공급망
  • CI/CD 침해
  • 방법론

구독

  • RSS 피드
  • @cremit_io
  • GitHub
// 상태
모니터 가동중
// 빌드
2026-07-04
// 출처
cremit · 서울, 대한민국
// 라이선스
CC BY 4.0

© 2026 Cremit. 출처 표시 시 자유롭게 재사용 가능.

home/campaigns/npm/yuechou

// publisher 캠페인 · npm

yuechou

npm의 yuechou 계정이 publish한 catch 패키지 전체와, registry가 현재 노출하는 author·maintainer 정보. 같은 이메일이나 이름이 여러 패키지에 걸쳐 등장하면, 한 명이 여러 throwaway 계정을 운영한다는 강한 증거입니다.

↗npmjs.com publisher↗pypi.org user
패키지
2
고유 이름 수
탐지 이벤트
8
버전 × 이름
blast
—
주간 다운로드 합계
활동 기간
2026-06-04 → 2026-06-05
최초 → 최근 탐지

// publisher OSINT

이 계정 자체에 대한 시그널. 활동 기간이 짧으면 throwaway 가능성이 큽니다. 이메일 도메인을 보면 단발 webmail인지 진짜 조직 메일인지 한눈에 갈리고, 같은 핸들이 여러 registry에 있으면 같은 운영자라고 볼 강한 근거가 됩니다. GitHub 링크가 잡히면 실명 식별까지 곧장 이어집니다.

npm 활동
  • registry 패키지 수: 20
  • 최초 publish: 2026-05-30
  • 최근 publish: 2026-06-12
  • 활동 기간: 13일
다른 registry의 같은 핸들
  • npm /~yuechou: 존재함 ↗
  • pypi /user/yuechou: 존재함 ↗
  • github.com/yuechou: 존재함 ↗
이메일 도메인
  • qq.com×2webmail

// exfil path

what is read → where it ships
steals
  • ● AWS keys
  • ● GCP creds
  • ● GitHub PAT
  • ● GitLab PAT
  • ● AI API keys
  • ● Chromium logins
  • ○ home dir
  • ○ system info
  • ○ clipboard
→
sends to

(no destination string extracted — payload may be dynamic / obfuscated)

Targets resolved from static-analysis flags; destinations extracted from the captured code excerpt. Full list + structured fields available in the IOC panel below.

// 공유 author 식별자

같은 이메일·이름이 캠페인 안 여러 패키지에 등장하는 경우. publisher 계정 외에 별도로 잡히는 직접적인 attribution 증거입니다.

emails
  • 944159045@qq.com— @yuechou/pi-ai, @yuechou/pi-coding-agent
author names
  • can boluk— @yuechou/pi-ai, @yuechou/pi-coding-agent

// 패턴 풋프린트

캠페인 전반에서 어떤 정적 분석 플래그가 얼마나 자주 매칭됐는지. "이 캠페인이 결국 어떤 종류의 stealer인가"에 대한 요약 답.

  • ×2
  • ×2
  • ×2
  • ×2
  • ×2
  • ×2
  • ×2
  • ×2
  • ×1
  • ×1
  • ×1
  • ×1

// npm에 등록된 전체 활동

이 계정이 지금 registry에 올려둔 모든 패키지 (최신순). ● Cremit 파이프라인이 catch · ○ 아직 미검출.2/20 catch.

  • ○
    @yuechou/omp-agent@ 1.0.9

    Oh My Pi multi-agent management extension

    2026-06-12
  • ○
    @yuechou/pi-utils@ 15.11.1

    Shared utilities for pi packages

    2026-06-11
  • ○
    @yuechou/pi-tui@ 15.11.1

    Terminal User Interface library with differential rendering for efficient text-based applications

    2026-06-11
  • ○
    @yuechou/swarm-extension

// 이 캠페인의 패키지

고유 이름 2개 · 최신순
  • ↳ author:Can Bolukmaintainers: yuechou <944159045@qq.com>↗ registry
  • ↳ author:Can Bolukmaintainers: yuechou <944159045@qq.com>↗ registry
@ 15.11.1

Swarm orchestration extension for omp

2026-06-11
  • ○
    @yuechou/omp-stats@ 15.11.1

    Local observability dashboard for pi AI usage statistics

    2026-06-11
  • ○
    @yuechou/snapcompact@ 15.11.1

    Bitmap-frame context compression for vision-capable LLMs

    2026-06-11
  • ○
    @yuechou/pi-mnemopi@ 15.11.1

    Local SQLite memory engine for Oh My Pi agents

    2026-06-11
  • ○
    @yuechou/hashline@ 15.11.1

    Hashline: a compact, line-anchored patch language and applier. Pluggable FS/IO so it works over disk, in-memory, or any custom backend.

    2026-06-11
  • ●
    @yuechou/pi-coding-agent@ 15.11.1

    Coding agent CLI with read, bash, edit, write tools and session management

    2026-06-11
  • ○
    @yuechou/pi-catalog@ 15.11.1

    Model catalog for omp: bundled model database, provider discovery descriptors, model identity, classification, and equivalence

    2026-06-11
  • ●
    @yuechou/pi-ai@ 15.11.1

    Unified LLM API with automatic model discovery and provider configuration

    2026-06-11
  • ○
    @yuechou/pi-agent-core@ 15.11.1

    General-purpose agent with transport abstraction, state management, and attachment support

    2026-06-11
  • ○
    @yuechou/omp-memory@ 4.2.3

    Oh My Pi extension: persistent memory, wiki, diary, triples, and graph

    2026-06-06
  • ○
    @yuechou/pi-natives@ 15.8.3-patched.5

    Native Rust bindings for grep, clipboard, image processing, syntax highlighting, PTY, and shell operations via N-API

    2026-06-05
  • ○
    @yuechou/omp-display@ 1.0.1

    Oh My Pi extension: sidebar display with session info, files, model, tasks, tools

    2026-06-03
  • ○
    omp-extension-my-agent-memory@ 1.0.0

    My Agent Memory — persistent memory, wiki, and diary for Oh My Pi

    2026-06-03
  • ○
    @yuechou/pi-memory@ 4.0.2

    Persistent memory for Pi Coding Agent via my-agent-memory

    2026-06-03
  • ○
    @yuechou/omp-video-understanding@ 1.0.0

    Oh My Pi extension: video content analysis using MIMO 2.5 API

    2026-06-03
  • ○
    @yuechou/omp-mode@ 1.0.0

    Oh My Pi mode, skill, and extension management system

    2026-06-03
  • ○
    pi-coding-agent-yuechouu@ 1.0.4

    Coding agent CLI with read, bash, edit, write tools and session management

    2026-05-30
  • public-github-push
    reads-env-vars
    child-process-spawn
    reads-github-tokens
    reads-ai-api-keys
    reads-homedir
    base64-decode
    reads-system-info
    reads-aws-creds
    reads-gcp-creds
    reads-gitlab-tokens
    long-base64-literal
    AUTO-PUBLISHED/kitchen-sink · 8/npm/2026-06-05

    @yuechou/pi-ai4 versions·15.8.3-patched.1→15.8.3-patched.6

    by yuechou

    Unified LLM API with automatic model discovery and provider configuration

    steals →AWS keysGCP credsGitHub PATGitLab PATAI API keys→ sends tohttps://omp.sh
    public-github-pushreads-env-varschild-process-spawnreads-aws-credsreads-gcp-credsreads-github-tokensreads-gitlab-tokensreads-ai-api-keys+4
    weekly
    —
    /wk
    h-score
    64
    patterns
    12
    size
    4.4 MB
    versions
    6
    AUTO-PUBLISHED/npm/2026-06-05

    @yuechou/pi-coding-agent4 versions·15.8.3-patched.1→15.8.3-patched.6

    by yuechou

    Coding agent CLI with read, bash, edit, write tools and session management

    steals →GitHub PATAI API keysChromium logins→ sends tohttps://omp.sh
    public-github-pushreads-env-varsreads-homedirreads-ai-api-keysreads-system-inforeads-chromium-credsreads-github-tokensbase64-decode+4
    weekly
    —
    /wk
    h-score
    64
    patterns
    12
    size
    10.3 MB
    versions
    6