가짜 커밋 히스토리로 위장한 악성 GitHub repo 1만 개

진짜 repo를 통째로 복제해서 커밋·기여자까지 베끼고, 몇 시간마다 'README 업데이트'로 지웠다 다시 푸시하며 악성 zip 링크를 끼워넣는다. 오래된 히스토리가 신뢰를 만든다는 본능을 그대로 무기로 쓴 거다. star 수보다 '이 커밋이 진짜 그 사람 손에서 나왔나'를 봐야 하는 시대.