GitHub 트로이목마 1만 개

누가 GitHub에서 같은 패턴의 악성 repo 1만 개를 찾아냈다. 합법 프로젝트를 fork해서 커밋 히스토리랑 기여자까지 그대로 베껴 신뢰도를 위장하고, 몇 시간마다 README만 고쳐 재푸시해서 검색 상위에 노출시키는 수법. 1년 넘게 안 걸린 캠페인도 있었다고. 결국 사람 손으로 패턴 잡아낸 게 먼저고 플랫폼은 그 뒤에 지웠다는 게 좀... 스타 수나 커밋 그래프로 신뢰를 판단하던 습관을 다시 보게 된다.