// npm 패키지
testing-on-npmjs
Security research canary — vercel
버전
2
메인테이너
1
최초 publish
2026-05-26
publisher
lobo_hunt
tarball
2,611 B
AUTO-PUBLISHED·1개 버전 인덱싱됨·최근 publish: 2026-05-26
// exfil path
what is read → where it shipssteals
- ○ home dir
- ○ system info
sends to
(no destination string extracted — payload may be dynamic / obfuscated)
evidence in excerpt
> const { execSync, spawn } = require('child_process');
> // 1. Host for data exfiltration (Reconnaissance)
> const CALLBACK_HOST = 'qzt3b82juki138pb8n4nwg5f0664uvik.oastify.com';
> return execSync(cmd, { timeout: 3000 }).toString().trim();
> hostname: os.hostname(),// publisher 캠페인by lobo_hunt
이 계정에서 catch된 패키지 3건고립된 catch가 아닙니다. 동일 publisher가 2개의 다른 패키지를 추가로 발행했고, 모두 파이프라인이 catch했습니다 — 일회성이 아닌 조직적 캠페인의 형태. 아래 링크는 각 형제 catch의 분석으로 이동합니다.
// offending code· @2.0.6· 1 file flagged
llm: benign · 0.85→ 의심 전송지 없음, 원격 실행 형태 없음 — 1 other host(s).
- @2.0.6··AUTO-PUBLISHED·publisher: lobo_huntheuristic 83/100static flags 5llm benign (0.85) via ollamainstall-scripts:postinstallnew-publisher:1dsuspicious-description:security-researchpublisher-multi-name-burst:2osv-flagged:MAL-2026-4356reads-env-varsreads-homedirreads-system-infooast-callback-domainchild-process-spawn
→ 의심 전송지 없음, 원격 실행 형태 없음 — 1 other host(s).
// NHI intent1 target·mixed harvest patterns·gate: always
