2026년 5월 19일 01:39 UTC부터 02:56 UTC 사이, 두 차례의 집중 burst로 npm 패키지 323개에 악성 버전 639개가 게시되었습니다. 탈취된 `atool` 세션 하나는 진입점에 불과했습니다. 페이로드의 worm 로직이 감염된 호스트의 다른 메인테이너 npm 토큰까지 수집해 그 명의로 재배포했으며, 이로 인해 웨이브에 30명의 publisher 핸들이 분포합니다. Cremit Argus는 OSSF flagged 이벤트에 대해 의도적으로 LLM 합의를 우회하는 OSV-MAL override 경로를 통해 30분 안에 324건을 surface 했습니다. 본 글은 공격 구조, 탐지 방법론, 그리고 분석 초기 단계의 false-positive 사례를 정리합니다.
8가지 위험한 NHI 크리덴셜 유형. 전부를 찾고, 분류하고, 제거하는 하나의 프레임워크. Cyber Kill Chain과 MITRE ATT&CK 매핑을 포함한 NHI Kill Chain 시리즈 총정리.
2026년 4월 22일, 공식 @bitwarden/cli@2026.4.0 npm 패키지가 약 90분간 악성으로 배포됐습니다. 자기 전파 워엄이 CI 러너에서 AWS·Azure·GCP·GitHub·npm·SSH·AI 도구 자격증명을 빼냈습니다. Vault는 무사, CI 토큰은 위험. 타임라인, NHI Kill Chain 매핑, 10분 안에 끝내는 영향 점검 체크리스트를 정리했습니다.
2026년 4월 19일 Vercel이 공식 확인한 사고는 한 직원이 쓰던 서드파티 AI 도구에서 시작돼 Google Workspace를 거쳐 Vercel 내부 시스템에 도달했고, 일부 고객 프로젝트의 환경 변수 중 sensitive 플래그가 없던 값들이 노출됐습니다. 확인된 사실과 루머를 나누고, 지금 무엇부터 교체해야 하는지 정리했습니다.
신임 CISO가 NHI 전수 조사를 지시했습니다. 결과: 활성 크리덴셜 3,400개, 60%가 소유자 불명. 폐기도, 로테이션도, 책임 할당도 불가.
PostgreSQL 마스터 비밀번호가 7개 플랫폼 유형을 횡단했습니다. 각 보안 도구는 자기 영역만 봤고, 전체 그림을 보는 도구는 없었습니다.
조직의 핵심 크레덴셜이 공개 저장소에 수년간 방치되었다. 보안 업계의 답은 "Out of scope."
Secret scanning alert: Resolved. 크리덴셜 상태: Active. 코드에서 지우는 것과 폐기하는 것은 완전히 다릅니다. Zombie Key 킬체인 분석.
Stripe API 키 하나가 3년간 14곳에 복사되었습니다. QA 리포가 공개 전환되면서 키가 노출 — 폐기하면 14개 서비스가 동시에 죽는 상황.
3년간 로테이션 없이 7개 시스템에 퍼진 AWS 키 하나. 공급망 공격으로 이 키가 탈취되었을 때, 공격자는 인프라 전체에 접근할 수 있었습니다. Aged Key 킬체인 분석과 단계적 로테이션 대응 가이드.
프로덕션 장애 한 번으로 크리덴셜이 6개 비코드 플랫폼에 퍼졌습니다. 시크릿 스캐너는 하나도 찾지 못했습니다. Shadow Key 킬체인 분석.
퇴사한 개발자의 AWS 키가 92일간 방치되다 인포스틸러를 통해 다크웹에 유출되었습니다. Ghost Key 킬체인 분석과 고아 크리덴셜 대응 가이드.
Aqua Security의 Trivy가 해킹당해 LiteLLM까지 연쇄 감염된 TeamPCP 공급망 공격. 사이버 킬체인 7단계와 MITRE ATT&CK 매핑으로 분석하고, NHI 거버넌스 실패가 만든 연쇄 재앙의 교훈을 정리합니다.
.env 파일이 GitHub 공개 저장소에 push된 지 4분 만에 공격자 봇이 탐지합니다. 크리덴셜 노출에서 인프라 침해까지의 Kill Chain 전체를 분석하고, 피해가 발생하기 전에 탐지하고 대응하는 방법을 다룹니다.
2025년 사이버보안 현황: 전체 보고서 다운로드
OWASP NHI5:2025 과도한 권한 분석
Lifecycle 관리를 넘어서: NHI 보안을 위해 지속적인 Secret 탐지가 필수적인 이유
OWASP NHI4:2025 불안전한 인증
Model Context Protocol(MCP)과 Agent-to-Agent(A2A) 통신이 NHI 보안 경계를 다시 그립니다. AI 에이전트가 인프라의 1급 아이덴티티가 될 때 무엇이 달라지는지 정리합니다.
인간 대 비인간 인증 정보: 주요 차별점
tj-actions/changed-files 침해 사건 - NHI 보안을 중심으로
코드의 이면: 숨겨진 Secret 식별을 위한 모범 사례
OWASP NHI1:2025 - 부적절한 오프보딩: 알아보기
무분별한 확산을 막으세요: Cremit의 AWS S3 비인간 인증 정보 탐지 기능 소개신원 (NHI) 탐지 기능 도입
자체구축 vs. 구매: Secret 탐지를 위한 올바른 선택
바이비트 해킹 사건 분석: 암호화폐 거래소 보안, 어떻게 강화해야 할까요?
OWASP NHI2:2025 Secret 유출 - 위험 제대로 파악하고 안전하게 관리하기
OWASP NHI3:2025 위협 3 - 취약한 3rd Party NHI 이해하기
조직 내 비인간 ID 보호를 위한 6가지 필수 실천 방안
크리밋의 새로운 Secret, NHI 탐색 엔진을 소개합니다!
OWASP NHI Top 10은 대부분의 팀이 아직 추적하지 않는 머신 자격증명 리스크 10가지를 정리합니다. 각 위협이 실제로 무엇을 의미하고, 어떤 통제로 매핑되는지 풀어봅니다.
고객 인터뷰: ENlighten에서 얻은 인사이트
Secret 확산과 Non Human Identity: 증가하는 보안 문제