PolinRider: מסע הסייבר הצפון קוריאני שכבש 1,951 מאגרי GitHub
PolinRider היא מתקפה על שרשרת האספקה של קוד פתוח המיוחסת לצפון קוריאה (קבוצת Lazarus/Contagious Interview). במסגרת המבצע פורסמו למעלה מ 1,700 חבילות npm זדוניות, והתקיפה התפשטה גם ל PyPI, Go, Packagist (PHP) ו crates.io (Rust), תוך ניצול תלות זדונית בספריית Axios הפופולרית הקמפיין מציב סיכון גבוה במיוחד: נוזקות Beav...
Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,An artist's conceptualization of the PolinRider supply chain attack chain, showing the compromise of open-source ecosystems.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
openai.com
מתקפת PolinRider היא אחד ממבצעי שרשרת האספקה (supply chain) האגרסיביים והמתוחכמים ביותר שיוחסו אי פעם לצפון קוריאה. זוהתה לראשונה על ידי צוות OpenSourceMalware במרץ 2026, ומאז התפשטה במהירות על פני מערכות אקולוגיות שלמות של חבילות קוד וכלי פיתוח, תוך שהיא פוגעת בכ-2,000 מאגרי GitHub ומנצלת טכנולוגיית בלוקצ'יין לתקשורת עמידה עם שרת הפיקוד והבקרה (C2) .
מי עומד מאחורי המתקפה?
PolinRider מיוחסת לרפובליקה העממית הדמוקרטית של קוריאה (DPRK) ומזוהה עם קבוצת Lazarus. היא פועלת כמערכת משנה בתוך אשכול Contagious Interview (הידוע גם בשם Famous Chollima) . המבצע התמזג מבצעית עם קמפיין TasksJacker הקשור, המתמקד בניצול אוטומציית המשימות של VS Code .
היקף והתפשטות
היקף PolinRider עצום וצומח במהירות:
השייכים ל- נכון לסוף אפריל 2026
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "PolinRider: מסע הסייבר הצפון קוריאני שכבש 1,951 מאגרי GitHub"?
PolinRider היא מתקפה על שרשרת האספקה של קוד פתוח המיוחסת לצפון קוריאה (קבוצת Lazarus/Contagious Interview).
What are the key points to validate first?
PolinRider היא מתקפה על שרשרת האספקה של קוד פתוח המיוחסת לצפון קוריאה (קבוצת Lazarus/Contagious Interview). במסגרת המבצע פורסמו למעלה מ 1,700 חבילות npm זדוניות, והתקיפה התפשטה גם ל PyPI, Go, Packagist (PHP) ו crates.io (Rust), תוך ניצול תלות זדונית בספריית Axios הפופולרית
What should I do next in practice?
הקמפיין מציב סיכון גבוה במיוחד: נוזקות BeaverTail, DEV POPPER.js ו OmniStealer המאפשרות גניבת פרטי ארנקי קריפטו, מפתחות SSH, אסימוני API וסודות CI/CD
הקמפיין גם פגע בספריית Axios הפופולרית של npm (גרסאות 1.14.1 ו-0.30.0) באפריל 2026, באמצעות תלות זדונית בשם plain-crypto-js, והשפיע על כ-100 מיליון הורדות שבועיות .
טכניקת ההדבקה בת ארבעת השלבים
שרשרת ההדבקה של PolinRider היא תהליך מתוזמר בקפידה בן ארבעה שלבים, שנועד למקסם חמקנות ולמזער את הצורך באינטראקציה עם המשתמש.
שלב 1: מטעני JavaScript מוסתרים בקבצי תצורה
התוקפים מצרפים קוד JavaScript מוסתר (obfuscated) לסופם של קבצי תצורת מפתחים לגיטימיים כגון postcss.config.mjs, tailwind.config.js, eslint.config.mjs ו-next.config.mjs. השורות הזדוניות מרופדות ברווחים לבנים עודפים, מה שדוחק את הקוד אל מעבר לרוחב הצפייה המוגדר כברירת מחדל של הסביבה, והופך אותו לבלתי נראה במהלך סקירת קוד מזדמנת .
שלב 2: שיטות הסוואה מתוחכמות
PolinRider משתמשת בשלוש טכניקות הסוואה עיקריות:
קבצי גופן מזויפים .woff2: קוד ה-JavaScript המוסתר מוסווה כקובץ גופן אינטרנטי, פורמט בינארי שרוב המפתחים לעולם לא בוחנים
זיוף היסטוריית Git (ForceMemo): מודול שכותב מחדש את היסטוריית Git, ומתארך קומיטים זדוניים אחורה בחודשים, כדי שייראו כתחזוקה שוטפת ממפתחים לגיטימיים
שלב 3: ביצוע משימות VS Code (TasksJacker)
קבצי .vscode/tasks.json זדוניים מוזרקים למאגרים. כאשר מפתח משכפל מאגר שנפרץ ופותח אותו ב-VS Code, המשימה מבוצעת באופן אוטומטי ללא כל אינטראקציה נוספת מצד המשתמש. זה עוקף לחלוטין את שלב ההנדסה החברתית ששימש בקמפיינים קודמים של Contagious Interview .
שלב 4: שליפת מטענים מבוססת בלוקצ'יין (C2)
מטען ה-JavaScript המפוענח (deobfuscated) שולף את המטען הבא שלו על ידי קריאת נתונים מוצפנים המוטמעים בעסקאות בלוקצ'יין. הקמפיין משתמש ברשתות TRON, Aptos ו-BSC (BNB Smart Chain) כערוצי C2 . טכניקת "הסתרה אתרית" (etherhiding) זו הופכת השבתת המתקפה לקשה ביותר, מכיוון שנתוני ה-C2 קיימים באופן בלתי ניתן לשינוי על בלוקצ'יינס ציבורי.
נוזקות המועברות
PolinRider מספקת חבילה של נוזקות, שלכל אחת יכולות ספציפיות:
BeaverTail (Dropper/Infostealer מבוסס JavaScript)
משפחת הנוזקות העיקרית המועברת היא גרסה חדשה של BeaverTail, נוזקה ידועה מבוססת JavaScript המשויכת לפעולות DPRK. היא פועלת כ-Dropper שלב ראשון וכגונב פרטי כניסה .
DEV#POPPER.js (סוס טרויאני לגישה מרחוק)
שרשרת ההדבקה מספקת RAT מבוסס JavaScript הידוע בשם DEV#POPPER.js. הוא מספק יכולות הרצת קוד מרחוק מלאות (RCE), גישה מתמשכת, ויכולת להריץ פקודות שרירותיות על תחנת העבודה של המפתח שנפרצה. יחידת התגובה לאיומים (TRU) של eSentire זיהתה אותו בטבע בפברואר 2026, כשתקף את מגזר האנרגיה, השירותים והפסולת .
OmniStealer (גונב מידע)
פרוס לצד DEV#POPPER, OmniStealer תוקף באגרסיביות פרטי ארנקי קריפטו, מפתחות פרטיים, פרטי כניסה השמורים בדפדפן, אסימוני הפעלה, מפתחות API וסודות CI/CD .
נוזקות נוספות
PylangGhost: דלת אחורית מבוססת Python, המסמנת את הפעם הראשונה שנוזקה זו הופצה דרך חבילות npm
דלת אחורית של Socket.io: מבססת תקשורת מתמשכת של reverse-shell עם תשתית התוקף
קשר ל-Contagious Interview
PolinRider היא אבולוציה מבצעית ישירה של קמפיין Contagious Interview. בעוד ש-Contagious Interview התבסס היסטורית על פיתיונות ראיונות עבודה מזויפים והנדסה חברתית כדי לשכנע מפתחים להתקין פרויקטים נגועים, PolinRider מייצגת מעבר לפגיעה אוטומטית לחלוטין, ללא צורך בהנדסה חברתית.
ההבדלים והחפיפות העיקריים:
שני הקמפיינים חולקים את אותה משפחת נוזקות BeaverTail ותשתית C2 חופפת
PolinRider/TasksJacker מבטלת את השכבה החברתית לחלוטין — הפגיעה מתרחשת באופן אוטומטי דרך חבילות זדוניות ומשימות VS Code המופעלות אוטומטית
שניהם משתמשים בשליפת מטענים מבוססת בלוקצ'יין
המלצות הגנה
בהתבסס על הנחיות מ-OpenSourceMalware, Socket Security, Sonatype וחוקרים נוספים, ארגונים צריכים לנקוט בצעדים הבאים:
צעדים מיידיים
התייחסו לכל סביבה שנפגעה כפרוצה לחלוטין — הניחו שגניבת פרטי כניסה וסודות התרחשה עד להוכחה אחרת