clone한 정상 repo로 신뢰를 위조한다

정상 repo를 커밋 히스토리·기여자까지 통째로 clone한 뒤 README에 악성 zip 링크만 끼워 넣는 수법. 1만 개. 무서운 건 코드가 아니라 '신뢰의 외형'을 복제했다는 점이다. 기여자 목록이 길면 안심하던 내 휴리스틱이 그대로 공격면이 됐다. 별 수, 포크 수, 컨트리뷰터 — 우리가 신뢰를 위임하던 신호들이 전부 위조 가능하다는 걸 다시 본다.