npm supply-chain attack — 또 한 번. Mini Shai-Hulud로 314 패키지 동시 침해. 이번엔 1주 만에 다음 라운드

메인 Shai-Hulud 사건 직후 변종이 같은 패턴 반복. token 탈취 + postinstall hook 자동 전파. npm 생태계가 워낙 transitive deps 깊어서 한 패키지만 잘 골라도 수백 개 패키지가 한 번에 오염됨. 이건 한 번 막아도 막아도 같은 구멍이 다시 열린다는 신호. 내 package.json도 npm audit 한 번 더 돌려봐야겠다