PolinRider er en nordkoreansk (Lazarus/Contagious Interview) supply chain kampagne, der pr. Mere end 1.700 ondsindede npm pakker er udgivet som en del af den bredere Contagious Interview operation, og kampagnen har spredt sig til PyPI, Go, Packagist (PHP) og crates.io (Rust) og har endda kompromitteret det p...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
PolinRider-kampagnen er et af de mest aggressive og teknisk avancerede open source-supply chain-angreb, der nogensinde er tilskrevet Nordkorea. Først flagget af OpenSourceMalware i marts 2026, har det hurtigt spredt sig på tværs af flere pakke-økosystemer og udvikler-værktøjskæder og kompromitteret næsten 2.000 GitHub-repositorier og udnyttet blockchain-teknologi til kommandokontrol (C2) .
PolinRider tilskrives Den Demokratiske Folkerepublik Korea (DPRK) og er tilpasset Lazarus Group. Det opererer som en underkampagne inden for det bredere Contagious Interview-cluster (også kendt som Famous Chollima) . Kampagnen er operationelt fusioneret med den relaterede TasksJacker-kampagne, som fokuserer på at misbruge VS Cords opgaveautomatisering
.
Omfanget af PolinRider er enormt og vokser hurtigt:
Kampagnen har spredt sig langt ud over npm, som var dens oprindelige vektor:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt og debug-glit .vscode/tasks.json-filer og injicerede CI-pipelines Kampagnen kompromitterede også det meget brugte Axios npm-bibliotek (version 1.14.1 og 0.30.0) i april 2026 via en ondsindet afhængighed ved navn plain-crypto-js, hvilket påvirkede cirka 100 millioner ugentlige downloads .
PolinRider-infektionskæden er en omhyggeligt orkestreret firetrinsproces designet til at maksimere stealth og minimere behovet for victim-interaktion.
Angribere tilføjer stærkt obfuscated JavaScript til slutningen af legitime udviklerkonfigurationsfiler som postcss.config.mjs, tailwind.config.js, eslint.config.mjs og next.config.mjs . De ondsindede linjer er polstret med overskydende mellemrum, hvilket skubber koden ud over standard-IDE-visningsbredden og gør den usynlig under tilfældig koderevision
.
PolinRider anvender tre primære skjulningsteknikker:
.woff2-fontfiler: Den obfuscatede JavaScript kode er forklædt som en webfontfil, et binært format de fleste udviklere aldrig inspicerer Ondsindede .vscode/tasks.json-filer injiceres i repositorier. Når en udvikler kloner et kompromitteret repo og åbner det i VS Code, udføres opgaven automatisk uden yderligere brugerinteraktion. Dette omgår helt det sociale ingeniørtrin, der blev brugt i tidligere Contagious Interview-kampagner .
Den deobfuscatede JavaScript-loader henter sin næste nyttelast ved at læse krypterede data indlejret i cryptocurrency-blockchain-transaktioner. Kampagnen bruger TRON, Aptos og BSC (BNB Smart Chain)-blockchain-netværk som dead-drop C2-kanaler . Denne "etherhiding"-teknik gør nedtagning ekstremt vanskelig, da C2-dataene eksisterer uforanderligt på offentlige blockchains.
PolinRider leverer en suite af ondsindede nyttelaster, hver med specifikke egenskaber:
Den primære malware-familie, der leveres, er en ny variant af BeaverTail, en kendt JavaScript-baseret malware forbundet med DPRK-operationer. Den fungerer som en førstetrins-dropper og legitimationshøster .
Infektionskæden leverer en JavaScript-baseret RAT, der spores som DEV#POPPER.js. Den giver fuld fjernkodeudførelse (RCE), vedvarende adgang og mulighed for at udføre vilkårlige kommandoer på den kompromitterede udviklerarbejdsstation. eSentires Threat Response Unit (TRU) opdagede den i naturen rettet mod energi-, forsynings- og affaldssektoren i februar 2026 .
Implementeret sammen med DEV#POPPER, OmniStealer målretter aggressivt cryptocurrency-wallet-legitimationsoplysninger, private nøgler, browserlagrede legitimationsoplysninger, sessionstokens, API-nøgler og CI/CD-hemmeligheder .
PolinRider er en direkte operationel evolution af Contagious Interview-kampagnen. Mens Contagious Interview historisk set stolede på falske jobsamtale-lokkemad og social engineering for at narre udviklere til at installere trojaniserede projekter, repræsenterer PolinRider et skift mod fuldautomatisk, social engineering-fri supply chain-kompromittering .
Vigtige forskelle og overlapninger inkluderer:
Baseret på vejledning fra OpenSourceMalware, Socket Security, Sonatype og andre forskere bør organisationer tage følgende skridt:
package.json, go.mod og lockfiler postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs og lignende filer for tilføjet obfuscated JavaScript .vscode/-mapper for uventede tasks.json med auto-run-konfigurationer .woff2 og andre binære aktivfiler for indlejret JavaScript npm auditsocket.dev-scanning) før installation Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider er en nordkoreansk (Lazarus/Contagious Interview) supply chain kampagne, der pr.
PolinRider er en nordkoreansk (Lazarus/Contagious Interview) supply chain kampagne, der pr. Mere end 1.700 ondsindede npm pakker er udgivet som en del af den bredere Contagious Interview operation, og kampagnen har spredt sig til PyPI, Go, Packagist (PHP) og crates.io (Rust) og har endda kompromitteret det p...
Angrebet leverer BeaverTail (en JavaScript dropper/stealer), DEV POPPER.js (en fjernadgangstrojaner) og OmniStealer (en informationsstjæler rettet mod crypto wallets og legitimationsoplysninger) og repræsenterer en fa...