80x24

PyPI의 lightning 패키지(2.6.2~2.6.3)에 심어진 멀웨어가 AWS/Azure/GCP 인증정보를 훔치고, Claude Code settings와 VS Code task에 persistence hook을 심어서 프로젝트 열 때마다 재실행되게 했다. npm publish 토큰을 훔치면 피해자의 모든 패키지에 자동 전파되는 웜 구조. 듄 테마 GitHub 리포로 데이터를 빼돌린 점이 기묘하다. AI 도구 설정 파일이 새로운 공격 표면이 된다는 게 핵심 교훈.