PolinRider: Severokorejský útok na dodavatelský řetězec ohrozil 1 951 GitHub repozitářů
PolinRider je severokorejská kampaň (Lazarus/Contagious Interview), která do konce dubna 2026 napadla 1 951 GitHub repozitářů patřících 1 047 různým vlastníkům – za pět týdnů se počet infikovaných úložišť téměř ztrojn... Bylo publikováno více než 1 700 škodlivých npm balíčků v rámci širší operace Contagious Intervie...
Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,An artist's conceptualization of the PolinRider supply chain attack chain, showing the compromise of open-source ecosystems.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
openai.com
Kampaň PolinRider představuje jeden z nejagresivnějších a technicky nejvyspělejších útoků na dodavatelský řetězec open-source softwaru, který je připisován Severní Koreji. Poprvé ji zachytil tým OpenSourceMalware v březnu 2026 a od té doby se rychle rozšířila napříč několika balíčkovými ekosystémy a vývojářskými nástroji. Kompromitovala téměř 2 000 GitHub repozitářů a k odolné komunikaci s velitelskými servery (C2) využívá technologii blockchainu .
Atribuce a identita kampaně
PolinRider je připisován Korejské lidově demokratické republice (KLDR) a je spojován se skupinou Lazarus. Funguje jako subkampaň v rámci širšího shluku Contagious Interview (sledovaného také jako Famous Chollima) . Kampaň se operačně spojila s příbuznou kampaní TasksJacker, která se zaměřuje na zneužívání automatizace úloh ve VS Code .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "PolinRider: Severokorejský útok na dodavatelský řetězec ohrozil 1 951 GitHub repozitářů"?
PolinRider je severokorejská kampaň (Lazarus/Contagious Interview), která do konce dubna 2026 napadla 1 951 GitHub repozitářů patřících 1 047 různým vlastníkům – za pět týdnů se počet infikovaných úložišť téměř ztrojn...
What are the key points to validate first?
PolinRider je severokorejská kampaň (Lazarus/Contagious Interview), která do konce dubna 2026 napadla 1 951 GitHub repozitářů patřících 1 047 různým vlastníkům – za pět týdnů se počet infikovaných úložišť téměř ztrojn... Bylo publikováno více než 1 700 škodlivých npm balíčků v rámci širší operace Contagious Interview, přičemž kampaň se rozšířila i na PyPI, Go, Packagist (PHP) a crates.io (Rust) a zkompromitovala i populární knihovnu A...
What should I do next in practice?
Kampaň doručuje malware BeaverTail (JavaScriptový zavaděč/krádež dat), DEV POPPER.js (trojský kůň pro vzdálený přístup) a OmniStealer (krádež kryptopeněženek a přihlašovacích údajů) a představuje nebezpečný vývoj směr...
1 951 kompromitovaných GitHub repozitářů patřících 1 047 unikátním vlastníkům k datu konce dubna 2026
Počet zasažených repozitářů se za pět týdnů od prvního zveřejnění informace zhruba ztrojnásobil
V rámci širší operace Contagious Interview bylo publikováno více než 1 700 škodlivých npm balíčků
Zasažené ekosystémy
Kampaň se rozšířila daleko za svůj počáteční vektor, kterým byl npm:
npm (Node.js): Primární cíl, stovky škodlivých balíčků včetně dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt a debug-glit
PyPI (Python): Python balíčky distribuované jako součást operace Contagious Interview
Go (Go Module Mirror): Škodlivé Go balíčky identifikované společností Socket Security
Packagist (PHP/Composer): Rozšíření do tohoto ekosystému bylo potvrzeno v červenci 2026
Rust (crates.io): Zacíleno v širší kampani
GitHub Actions a rozšíření VS Code: Kompromitováno prostřednictvím škodlivých .vscode/tasks.json souborů a injektovaných CI/CD pipeline
Kampaň také v dubnu 2026 kompromitovala hojně používanou npm knihovnu Axios (verze 1.14.1 a 0.30.0) prostřednictvím škodlivé závislosti plain-crypto-js, což ovlivnilo zhruba 100 milionů týdenních stažení .
Vícefázová infekční technika
Infekční řetězec PolinRider je pečlivě orchestrovaný, čtyřfázový proces navržený k maximalizaci utajení a minimalizaci potřeby interakce oběti.
Fáze 1: Obfuskované JavaScript loadery v konfiguračních souborech
Útočníci připojí silně obfuskovaný JavaScript na konec legitimních konfiguračních souborů, jako jsou postcss.config.mjs, tailwind.config.js, eslint.config.mjs a next.config.mjs. Škodlivé řádky jsou doplněny přebytečnými mezerami, čímž se kód posune za výchozí šířku zobrazení IDE a stane se neviditelným při běžné kontrole kódu .
Fáze 2: Sofistikované metody skrývání
PolinRider používá tři primární techniky skrytí:
Falešné .woff2 font soubory: Obfuskovaný JavaScript je maskovaný jako webový font, binární formát, který většina vývojářů nikdy nekontroluje
Odsazení mezerami: Spustitelné řádky jsou odsazeny daleko doprava, mimo viditelnou oblast
Falšování historie Gitu (ForceMemo): Modul, který přepisuje Git historii, datuje škodlivé commity o měsíce zpět, aby vypadaly jako rutinní údržba od legitimních správců
Fáze 3: Spouštění úloh VS Code (TasksJacker)
Do repozitářů jsou injektovány škodlivé .vscode/tasks.json soubory. Když vývojář naklonuje kompromitovaný repozitář a otevře jej ve VS Code, úloha se spustí automaticky bez jakékoli další interakce uživatele. To zcela obchází krok sociálního inženýrství používaný v dřívějších kampaních Contagious Interview .
Fáze 4: Získávání payloadu z blockchainu (C2)
Deobfuskovaný JavaScript loader získává payload další fáze čtením zašifrovaných dat vložených do transakcí kryptoměnových blockchainů. Kampaň využívá blockchainové sítě TRON, Aptos a BSC (BNB Smart Chain) jako dead-drop C2 kanály . Tato technika "etherhiding" činí odstranění C2 infrastruktury extrémně obtížným, protože data existují neměnitelně na veřejných blockchainech.
Doručené malware payloady
PolinRider doručuje sadu škodlivých payloadů, z nichž každý má specifické schopnosti:
BeaverTail (JavaScriptový zavaděč/krádež dat)
Primární doručovaná rodina malwaru je nová varianta BeaverTail, známého JavaScriptového malwaru spojovaného s operacemi KLDR. Funguje jako první fáze zavaděče a sběrače přihlašovacích údajů .
DEV#POPPER.js (Trojský kůň pro vzdálený přístup)
Infekční řetězec doručuje JavaScriptový RAT sledovaný jako DEV#POPPER.js. Poskytuje plné možnosti vzdáleného spouštění kódu (RCE), trvalý přístup a schopnost spouštět libovolné příkazy na kompromitovaném vývojářském počítači. Jednotka eSentire Threat Response Unit (TRU) jej v únoru 2026 detekovala v praxi, přičemž cílil na sektor energetiky, utilit a odpadového hospodářství .
OmniStealer (Krádež informací)
Nasaděn společně s DEV#POPPER, OmniStealer agresivně cílí na přihlašovací údaje kryptopeněženek, soukromé klíče, přihlašovací údaje uložené v prohlížeči, session tokeny, API klíče a CI/CD tajemství .
Další payloady
PylangGhost: Python backdoor, který poprvé zaznamenal šíření prostřednictvím npm balíčků
Socket.io backdoor: Ustavuje trvalou reverzní shell komunikaci s útočníkovou infrastrukturou
Spojení s Contagious Interview
PolinRider je přímý operační vývoj kampaně Contagious Interview. Zatímco Contagious Interview historicky spoléhal na falešné pracovní pohovory a sociální inženýrství, aby přiměl vývojáře k instalaci trojanizovaných projektů, PolinRider představuje posun k plně automatizovanému kompromitování bez potřeby sociálního inženýrství.
Klíčové rozdíly a překryvy:
Obě kampaně sdílejí stejnou rodinu malwaru BeaverTail a překrývající se C2 infrastrukturu
PolinRider/TasksJacker zcela eliminuje sociální vrstvu – kompromitace nastává automaticky prostřednictvím škodlivých balíčků a automaticky spouštěných VS Code úloh
Obě používají získávání payloadů z blockchainu
Doporučená obranná opatření
Na základě doporučení od OpenSourceMalware, Socket Security, Sonatype a dalších výzkumníků by organizace měly podniknout následující kroky:
Okamžitá opatření
Považujte jakékoli zasažené prostředí za plně kompromitované – předpokládejte krádež přihlašovacích údajů a tajemství, dokud se neprokáže opak
Odstraňte zasažené balíčky z package.json, go.mod a lockfile
Prověřte veškerou odchozí síťovou aktivitu z vývojářských stanic, zejména spojení na blockchainové uzly a neznámé IP adresy
Pozastavte práci na jakémkoli kódu, který spouštěl zasažený balíček – vraťte se k commitům z doby před známým oknem kompromitace
Uchovejte forenzní důkazy (logy, obrazy disků) před nápravou
Vyčištění kódu a repozitářů
Prohledejte všechny soubory postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs a podobné pro přidaný obfuskovaný JavaScript
Zkontrolujte adresáře .vscode/ pro neočekávané tasks.json s automatickým spouštěním
Prověřte .woff2 a další binární asset soubory pro vložený JavaScript
Auditujte Git historii pro zpětně datované commity od neznámých autorů – nedůvěřujte samotné viditelné historii commitů
Dlouhodobé posílení bezpečnosti
Implementujte filtrování odchozích spojení (egress filtering) na vývojářských sítích pro omezení odchozích spojení
Používejte ověřování integrity balíčků (lockfile, kontrola checksum,
npm audit
, skenování socket.dev) před instalací
Zakažte automatické spouštění VS Code úloh ve vývojářských prostředích, kde to není výslovně potřeba
Nasaďte pravidla statické analýzy – Datadog nabízí dedikované detekční pravidlo pro PolinRider pro JavaScript/Node.js bezpečnostní skenování kódu
Sledujte indikátory C2 na blockchainu – neobvyklé DNS dotazy na blockchain API nebo nestandardní odchozí spojení z vývojářských strojů
Obnovte ze známých čistých lockfile a znovu vygenerujte všechna tajemství, API klíče a kryptografické klíče, které mohly být vystaveny na jakékoli zasažené stanici