get-shit-done의 원작자가 프로젝트를 방치하고, 관련 토큰을 이용한 암호화폐 사기(crypto scam)를 저지른 뒤 사라졌습니다. 커뮤니티는 이를 get-shit-done-redux로 포크(fork)하고 보안 점검을 완료했습니다. 기존 NPM 패키지를 즉시 삭제하십시오. 사기꾼이 여전히 배포 권한을 가지고 있어 귀하의 기기에 악성 업데이트를 푸시할 수 있습니다.

무슨 일이 일어났나요?

프로젝트와 함께 $GSD 암호화폐 토큰이 출시되었으며, 충분한 사람들이 매수하자 그는 전형적인 "러그풀 (rug pull)"—자금을 빼돌리고, 소셜 계정을 삭제하며, 코드베이스를 버리는 행위—을 실행했습니다.

관련 추가 뉴스: https://ourcryptotalk.com/news/bags-hackathon-winner-gsd-cloud-rug-pull

보안 위험

원작자가 키(keys)를 가지고 사라졌기 때문에, 그는 여전히 기존 NPM 레지스트리 항목에 접근할 수 있습니다. 현재 우리가 알고 있는 바로는 기존 패키지의 코드가 활발하게 악의적인 상태는 아니지만, 그가 내일 갑자기 나타나 모든 사용자의 기기에 백도어(backdoor) 업데이트를 푸시하는 것을 막을 방법은 없습니다. GSD 에이전트는 로컬 기기에서 깊은 쉘/bash 권한으로 실행되므로, 변조된 업데이트는 엄청난 보안 위험을 초래합니다.

이 사기꾼의 GitHub 계정은 다음과 같습니다: https://github.com/glittercowboy. 자신의 커뮤니티를 사기 친 사람의 것은 무엇도 사용하지 말 것을 강력히 권고합니다. 그는 또한 사기에 대한 경고를 삭제하기 위해 기존 GSD 프로젝트를 업데이트할 수도 있습니다. 결론은 이 사람의 레포지토리(repos)를 절대 믿지 마십시오!

Get Shit Done Redux

핵심 기여자들은 프로젝트를 open-gsd/get-shit-done-redux로 포크했습니다. 그들은 이 새로운 레포지토리에서 원작자의 접근을 차단했으며 전체 보안 감사(security audit)를 완료했습니다 (이곳에서 보안 감사 투명성 보고서를 읽어보실 수 있습니다)).

프로젝트의 기여자 중 한 명이 상황을 더 자세히 설명하고 있는 글도 읽어보실 수 있습니다: https://github.com/open-gsd/get-shit-done-redux/discussions/1

지금 바로 마이그레이션(Migration)하는 방법

npm uninstall -g get-shit-done-cc
npm uninstall -g @gsd-build/sdk

확신이 선다면, 새로운 리포지토리(Repository) 패키지를 설치하세요:

npm install -g get-shit-done-redux