امتدت الحملة إلى أبعد من npm، ناقلها الأولي:
.vscode/tasks.json وخطوط أنابيب CI/CD المحقونة سلسلة عدوى PolinRider هي عملية منظمة بعناية من أربع مراحل.
يُلحق المهاجمون أكواد JavaScript مبهمة بشدة بنهاية ملفات التهيئة المشروعة . تُحشى الأسطر الضارة بمسافات زائدة، مما يدفع الكود إلى ما وراء عرض المشاهدة الافتراضي للبيئة التطويرية، مما يجعله غير مرئي أثناء مراجعة الكود العادية
.
تستخدم PolinRider ثلاث طرق إخفاء أساسية:
يتم حقن ملفات .vscode/tasks.json ضارة في المستودعات. عندما يستنسخ مطور مستودعًا مخترقًا ويفتحه في VS Code، يتم تنفيذ المهمة تلقائيًا .
يستعيد محمل JavaScript الحمولة التالية عن طريق قراءة البيانات المشفرة المضمنة في معاملات سلسلة الكتل. تستخدم الحملة شبكات سلسلة كتل TRON وAptos وBSC (BNB Smart Chain) كقنوات اتصال (C2) .
توصّل PolinRider مجموعة من الحمولات الضارة:
تمثل PolinRider تطورًا تشغيليًا مباشرًا لحملة المقابلة المعدية. بينما اعتمدت المقابلة المعدية تاريخيًا على حيل المقابلات الوظيفية المزيفة والهندسة الاجتماعية، فإن PolinRider تمثل تحولًا نحو اختراق آلي بالكامل لسلسلة التوريد .
تشترك كلتا الحملتين في عائلة برامج BeaverTail الضارة وبنية تحتية متداخلة للتحكم، لكن PolinRider تلغي الطبقة الاجتماعية تمامًا .