2026년 4월 22일, 공식 @bitwarden/cli@2026.4.0 npm 패키지가 약 90분간 악성으로 배포됐습니다. 자기 전파 워엄이 CI 러너에서 AWS·Azure·GCP·GitHub·npm·SSH·AI 도구 자격증명을 빼냈습니다. Vault는 무사, CI 토큰은 위험. 타임라인, NHI Kill Chain 매핑, 10분 안에 끝내는 영향 점검 체크리스트를 정리했습니다.
2026년 4월 19일 Vercel이 공식 확인한 사고는 한 직원이 쓰던 서드파티 AI 도구에서 시작돼 Google Workspace를 거쳐 Vercel 내부 시스템에 도달했고, 일부 고객 프로젝트의 환경 변수 중 sensitive 플래그가 없던 값들이 노출됐습니다. 확인된 사실과 루머를 나누고, 지금 무엇부터 교체해야 하는지 정리했습니다.
Secret scanning alert: Resolved. 크리덴셜 상태: Active. 코드에서 지우는 것과 폐기하는 것은 완전히 다릅니다. Zombie Key 킬체인 분석.
.env 파일이 GitHub 공개 저장소에 push된 지 4분 만에 공격자 봇이 탐지합니다. 크리덴셜 노출에서 인프라 침해까지의 Kill Chain 전체를 분석하고, 피해가 발생하기 전에 탐지하고 대응하는 방법을 다룹니다.
AI 코딩 도구 Cline의 GitHub Issue 트리아지 봇에 프롬프트 인젝션을 주입해 npm 토큰을 탈취하고, 4,000대의 개발자 머신에 악성 AI 에이전트를 설치한 Clinejection 공격. AI가 AI를 설치하는 새로운 공급망 공격이 시작되었습니다.
Git secret scanning 완벽 가이드. TruffleHog, GitGuardian, GitHub Advanced Security, Cremit 비교. 실전 CI/CD 통합 예제와 구현 전략 포함.