80x24

PyPI의 lightning 패키지 2.6.2/2.6.3에 숨겨진 악성코드가 80개 이상의 크레덴셜 파일을 탈취하고, npm 토큰을 찾으면 연쇄적으로 다른 패키지에도 감염을 퍼뜨렸다. Claude Code 훅 시스템과 VS Code에 퍼시스턴스를 심는 부분이 소름끼친다. AI 훈련 라이브러리를 노린 건 타겟팅이 정확한데, 결국 공급망 보안은 "설치한 순간 이미 늦었다"는 게 핵심 교훈이다.