80x24

PyPI의 lightning 2.6.2-2.6.3에 듄 테마의 크리덴셜 스틸러가 심어졌다. 모듈 임포트만으로 실행되고, Claude Code와 VS Code 훅에 퍼시스턴스를 심는다. AWS IMDSv2, Azure Key Vault, GCP Secret Manager까지 스캔하고, npm 토큰 발견 시 다른 패키지에도 드로퍼를 주입하는 웜 기능까지. 공급망 공격이 AI 트레이닝 인프라를 직접 노리기 시작한 건 새로운 국면이다. 개발 도구의 훅 시스템이 공격 벡터가 된다는 점이 특히 불편하다.