피드로 돌아가기
The Worst Morning of My Developer Life — A Patient Hacker, a Fake AI Tool, and 150 Deleted Repos — My Story
Dev.toDev.to
Security

npm 패키지 하나와 토큰 관리 실수로 날아간 150개 저장소

The Worst Morning of My Developer Life — A Patient Hacker, a Fake AI Tool, and 150 Deleted Repos — My Story

Boyinbode Ebenezer Ayomide2026년 4월 4일12beginner

AI 요약

Context

검증되지 않은 AI 도구 설치 후 시스템 권한 탈취 발생. Git Remote URL에 평문으로 노출된 Personal Access Token 유출. 공격자가 API를 통해 150개 이상의 GitHub 저장소 삭제 및 랜섬노트 생성.

실천 포인트

Git Remote URL에 PAT를 직접 포함하지 말고 SSH Key 또는 credential helper를 사용하며, 정기적으로 쉘 히스토리 내 민감 정보 노출 여부를 점검할 것

태그

#macOS#Supply Chain Attack#Personal Access Token#GitHub#Security
원문 읽기