Contents
see List이번 쇼츠는 Microsoft 저장소 73개, AI 코딩 도구로 열면 토큰 털리는 공급망 공격 ㄷㄷ 내용을 짧게 정리한 주제 영상입니다. 핵심 장면과 설명은 YouTube Shorts에서 바로 확인할 수 있습니다.
카테고리는 IT최신뉴스이며, 영상은 짧은 시간 안에 중요한 맥락과 실사용 포인트를 전달하도록 구성했습니다.
영상 핵심 요약
- 마이크로소프트 저장소 73개가 AI 코딩 도구를 열자마자 비밀번호를 훔치는 공격에 엮였습니다.
- 6월 5일, GitHub는 Azure와 Microsoft 쪽 저장소 73개를 105초 안에 한꺼번에 막았습니다.
- 문제는 npm 설치가 아니라 폴더 열기였습니다. Claude Code, Gemini CLI, Cursor, VS Code 설정이 미끼였습니다.
- 저장소 안에 .claude, .gemini, .cursor, .vscode 설정을 심어 놓고 node .github/setup.js를 실행하게 만든 겁니다.
- 페이로드는 4.6MB짜리 난독화 자바스크립트였고, GitHub, npm, AWS, Azure, GCP 토큰을 노렸습니다.
- 더 무서운 건 이게 처음이 아니라는 점입니다. 5월에도 같은 durabletask 쪽 계정이 악성 패키지에 쓰였습니다.
- 피해가 개발자 한 명에서 끝나지 않는 이유는 훔친 토큰으로 저장소와 배포 파이프라인까지 이어질 수 있기 때문입니다.
- 당장 할 일은 간단합니다. 낯선 저장소를 AI 도구로 열기 전에 .claude, .gemini, .cursor, .vscode 자동 실행 설정부터 봐야 합니다.
쇼츠에서는 긴 글로 설명하기보다 장면, 자막, 음성 흐름으로 핵심을 빠르게 전달합니다. 이 글은 영상 내용을 다시 확인하거나 링크를 보관하기 위한 기록용 요약입니다.