PolinRider on Pohjois Korean (Lazarus/Contagious Interview klusteri) toimitusketjukampanja, joka huhtikuun 2026 loppuun mennessä oli vaarantanut 1 951 GitHub repositoriota 1 047 eri omistajalta – määrä lähes kolminker... Kampanja on levittänyt yli 1 700 haitallista npm pakettia, ja se on laajentunut PyPI:hin, Go:hun...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
PolinRider-kampanja on yksi aggressiivisimmista ja teknisesti kehittyneimmistä avoimen lähdekoodin toimitusketjuhyökkäyksistä, jotka on koskaan yhdistetty Pohjois-Koreaan. OpenSourceMalware huomasi sen ensimmäisenä maaliskuussa 2026, ja siitä lähtien se on levinnyt nopeasti useisiin pakettiekosysteemeihin ja kehittäjätyökaluihin vaarantaen lähes 2 000 GitHub-repositoriota ja hyödyntäen lohkoketjuteknologiaa komento- ja hallintayhteyksissä (C2) .
PolinRider on yhdistetty Korean demokraattiseen kansantasavaltaan (Pohjois-Korea) ja Lazarus-ryhmään. Se toimii laajemman Contagious Interview -klusterin (tunnetaan myös nimellä Famous Chollima) alakampanjana . Kampanja on sulautunut operatiivisesti siihen liittyvään TasksJacker-kampanjaan, joka keskittyy VS Coden tehtäväautomaation väärinkäyttöön
.
PolinRiderin laajuus on valtava ja kasvaa nopeasti:
Kampanja on levinnyt kauas npm:stä, joka oli sen alkuperäinen vektori:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt ja debug-glit .vscode/tasks.json-tiedostojen ja lisättyjen CI-putkien kautta Kampanja vaaransi myös laajalti käytetyn Axios-npm-kirjaston (versiot 1.14.1 ja 0.30.0) huhtikuussa 2026 haitallisen plain-crypto-js-riippuvuuden kautta, mikä vaikutti noin 100 miljoonaan viikoittaiseen lataukseen .
PolinRiderin tartuntaketju on huolellisesti orkestroitu nelivaiheinen prosessi, joka on suunniteltu maksimoimaan salailu ja minimoimaan uhrin vuorovaikutuksen tarve.
Hyökkääjät lisäävät voimakkaasti hämärytettyä JavaScriptiä oikeiden kehittäjän konfiguraatiotiedostojen, kuten postcss.config.mjs, tailwind.config.js, eslint.config.mjs ja next.config.mjs, loppuun . Haitalliset rivit on täytetty ylimääräisillä välilyönneillä, mikä työntää koodin IDE:n oletusnäkymän leveyden ulkopuolelle ja tekee siitä näkymätöntä satunnaisessa koodiarvioinnissa
.
PolinRider käyttää kolmea ensisijaista piilotustekniikkaa:
.woff2-fonttitiedostot: Hämärytetty JavaScript naamioidaan verkkofonttitiedostoksi, binäärimuotoon, jota useimmat kehittäjät eivät koskaan tarkista Haitallisia .vscode/tasks.json-tiedostoja lisätään repositorioihin. Kun kehittäjä kloonaa vaarantuneen repositorion ja avaa sen VS Codessa, tehtävä suoritetaan automaattisesti ilman lisätoimia. Tämä ohittaa aiemmissa Contagious Interview -kampanjoissa käytetyn sosiaalisen manipuloinnin vaiheen kokonaan .
Hämärytyksen purkamisen jälkeen JavaScript-lataaja noutaa seuraavan vaiheen hyötykuorman lukemalla salattua dataa, joka on upotettu kryptovaluutan lohkoketjutapahtumiin. Kampanja käyttää TRON-, Aptos- ja BSC (BNB Smart Chain) -lohkoketjuverkkoja kuollut-solmu-C2-kanavina . Tämä "etherhiding"-tekniikka tekee torjunnasta erittäin vaikeaa, koska C2-data on muuttumattomasti julkisissa lohkoketjuissa.
PolinRider toimittaa joukon haitallisia hyötykuormia, joilla kullakin on omat kykynsä:
Ensisijainen toimitettu haittaohjelmaperhe on uusi variantti BeaverTailista, tunnetusta JavaScript-pohjaisesta haittaohjelmasta, joka liittyy Pohjois-Korean operaatioihin. Se toimii ensimmäisen vaiheen tippaajana ja tunnisteenkerääjänä .
Tartuntaketju toimittaa JavaScript-pohjaisen RAT:n, jota seurataan nimellä DEV#POPPER.js. Se tarjoaa täydellisen etäkoodin suorituskyvyn (RCE), pysyvän pääsyn ja kyvyn suorittaa mielivaltaisia komentoja vaarantuneella kehittäjän työasemalla. eSentiren Threat Response Unit (TRU) havaitsi sen livenä kohdistamassa energia-, hyöty- ja jätealaa helmikuussa 2026 .
DEV#POPPERin rinnalla käyttöön otettu OmniStealer kohdistaa aggressiivisesti kryptovaluuttalompakkojen tunnistetietoja, yksityisiä avaimia, selaimessa tallennettuja tunnistetietoja, istuntotokeneita, API-avaimia ja CI/CD-salaisuuksia .
PolinRider on suora operatiivinen kehitysaskel Contagious Interview -kampanjasta. Siinä missä Contagious Interview luotti aiemmin väärennettyihin työhaastattelusyötteisiin ja sosiaaliseen manipulointiin saadakseen kehittäjät asentamaan troijalaistettuja projekteja, PolinRider edustaa siirtymää täysin automatisoituun, sosiaalista manipulointia vaatimattomaan toimitusketjun kompromissiin .
Keskeiset erot ja yhtäläisyydet:
OpenSourceMalwaren, Socket Securityn, Sonatypen ja muiden tutkijoiden ohjeiden perusteella organisaatioiden tulisi toteuttaa seuraavat toimenpiteet:
package.json-, go.mod- ja lukitustiedostoista postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs ja vastaavat tiedostot lisätyn hämärytetyn JavaScriptin varalta .vscode/-hakemistot odottamattomien tasks.json-tiedostojen varalta, joissa on automaattinen suorituskonfiguraatio .woff2- ja muut binääritiedostot upotetun JavaScriptin varalta npm auditsocket.dev-skannaus) ennen asennusta Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider on Pohjois Korean (Lazarus/Contagious Interview klusteri) toimitusketjukampanja, joka huhtikuun 2026 loppuun mennessä oli vaarantanut 1 951 GitHub repositoriota 1 047 eri omistajalta – määrä lähes kolminker...
PolinRider on Pohjois Korean (Lazarus/Contagious Interview klusteri) toimitusketjukampanja, joka huhtikuun 2026 loppuun mennessä oli vaarantanut 1 951 GitHub repositoriota 1 047 eri omistajalta – määrä lähes kolminker... Kampanja on levittänyt yli 1 700 haitallista npm pakettia, ja se on laajentunut PyPI:hin, Go:hun, Packagistiin (PHP) ja crates.io:hun (Rust).
Haittaohjelmat sisältävät BeaverTailin (JavaScript pohjainen tippaaja/tiedonvaras), DEV POPPER.js:n (etäkäyttötroijalainen) ja OmniStealerin (kryptolompakkojen ja tunnusten varastaja), ja se edustaa vaarallista automa...