Contents
see List작성일 2026. 06. 09.
이번 쇼츠는 Microsoft 저장소 73개, AI 코딩 도구로 열면 토큰 털리는 공급망 공격 ㄷㄷ 내용을 짧게 정리한 주제 영상입니다. 핵심 장면과 설명은 YouTube Shorts에서 바로 확인할 수 있습니다.
카테고리는 IT최신뉴스이며, 영상은 짧은 시간 안에 중요한 맥락과 실사용 포인트를 전달하도록 구성했습니다.
영상 핵심 요약
- 마이크로소프트 저장소 73개가 AI 코딩 도구를 열자마자 비밀번호를 훔치는 공격에 엮였습니다.
- 6월 5일, GitHub는 Azure와 Microsoft 쪽 저장소 73개를 105초 안에 한꺼번에 막았습니다.
- 문제는 npm 설치가 아니라 폴더 열기였습니다. Claude Code, Gemini CLI, Cursor, VS Code 설정이 미끼였습니다.
- 저장소 안에 .claude, .gemini, .cursor, .vscode 설정을 심어 놓고 node .github/setup.js를 실행하게 만든 겁니다.
- 페이로드는 4.6MB짜리 난독화 자바스크립트였고, GitHub, npm, AWS, Azure, GCP 토큰을 노렸습니다.
- 더 무서운 건 이게 처음이 아니라는 점입니다. 5월에도 같은 durabletask 쪽 계정이 악성 패키지에 쓰였습니다.
- 피해가 개발자 한 명에서 끝나지 않는 이유는 훔친 토큰으로 저장소와 배포 파이프라인까지 이어질 수 있기 때문입니다.
- 당장 할 일은 간단합니다. 낯선 저장소를 AI 도구로 열기 전에 .claude, .gemini, .cursor, .vscode 자동 실행 설정부터 봐야 합니다.
쇼츠에서는 긴 글로 설명하기보다 장면, 자막, 음성 흐름으로 핵심을 빠르게 전달합니다. 이 글은 영상 내용을 다시 확인하거나 링크를 보관하기 위한 기록용 요약입니다.