PolinRider का दायरा विशाल और तेजी से बढ़ रहा है:
यह अभियान अपने शुरुआती वेक्टर npm से कहीं आगे फैल गया है:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, और debug-glit .vscode/tasks.json फाइलों और इंजेक्टेड CI पाइपलाइनों के माध्यम से समझौता इस अभियान ने अप्रैल 2026 में व्यापक रूप से उपयोग किए जाने वाले Axios npm लाइब्रेरी (संस्करण 1.14.1 और 0.30.0) से भी समझौता किया, जो plain-crypto-js नामक एक दुर्भावनापूर्ण डिपेंडेंसी के माध्यम से हुआ, जिसने लगभग 100 मिलियन साप्ताहिक डाउनलोड को प्रभावित किया ।
PolinRider इन्फेक्शन चेन एक सावधानीपूर्वक ऑर्केस्ट्रेटेड, चार-चरणीय प्रक्रिया है जिसे अधिकतम चुपके और पीड़ित के न्यूनतम इंटरैक्शन के लिए डिज़ाइन किया गया है।
हमलावर वैध डेवलपर कॉन्फ़िगरेशन फ़ाइलों जैसे postcss.config.mjs, tailwind.config.js, eslint.config.mjs, और next.config.mjs के अंत में भारी रूप से अस्पष्ट JavaScript जोड़ते हैं । दुर्भावनापूर्ण लाइनों को अतिरिक्त सफेद स्थान के साथ पैड किया जाता है, जो कोड को डिफ़ॉल्ट IDE व्यूइंग चौड़ाई से परे धकेलता है, जिससे यह आकस्मिक कोड समीक्षा के दौरान अदृश्य हो जाता है
।
PolinRider तीन प्राथमिक छिपाने की तकनीकों का उपयोग करता है:
.woff2 फ़ॉन्ट फ़ाइलें: अस्पष्ट JavaScript को वेब फ़ॉन्ट फ़ाइल के रूप में प्रच्छन्न किया जाता है, एक बाइनरी प्रारूप जिसे अधिकांश डेवलपर कभी निरीक्षण नहीं करते हैं रिपॉजिटरी में दुर्भावनापूर्ण .vscode/tasks.json फ़ाइलें इंजेक्ट की जाती हैं। जब कोई डेवलपर एक compromise की गई रिपो को क्लोन करता है और इसे VS Code में खोलता है, तो कार्य स्वचालित रूप से बिना किसी और उपयोगकर्ता इंटरैक्शन के निष्पादित होता है। यह पहले के Contagious Interview अभियानों में उपयोग किए गए सोशल इंजीनियरिंग चरण को पूरी तरह से बायपास करता है ।
डी-ऑबफस्केटेड JavaScript लोडर क्रिप्टोकरेंसी ब्लॉकचेन लेनदेन में एम्बेडेड एन्क्रिप्टेड डेटा को पढ़कर अपने अगले चरण का पेलोड प्राप्त करता है। यह अभियान TRON, Aptos, और BSC (BNB Smart Chain) ब्लॉकचेन नेटवर्क को डेड-ड्रॉप C2 चैनलों के रूप में उपयोग करता है । यह "etherhiding" तकनीक टेकडाउन को बेहद मुश्किल बना देती है क्योंकि C2 डेटा सार्वजनिक ब्लॉकचेन पर अपरिवर्तनीय रूप से मौजूद रहता है।
PolinRider दुर्भावनापूर्ण पेलोड का एक सूट डिलीवर करता है, जिनमें से प्रत्येक में विशिष्ट क्षमताएं हैं:
प्राथमिक मैलवेयर परिवार BeaverTail का एक नया वेरिएंट है, जो DPRK ऑपरेशन से जुड़ा एक ज्ञात JavaScript-आधारित मैलवेयर है। यह फर्स्ट-स्टेज ड्रॉपर और क्रेडेंशियल हार्वेस्टर के रूप में कार्य करता है ।
इन्फेक्शन चेन DEV#POPPER.js नामक एक JavaScript-आधारित RAT डिलीवर करता है। यह पूर्ण रिमोट कोड एक्सेक्यूशन (RCE), लगातार एक्सेस, और समझौता किए गए डेवलपर वर्कस्टेशन पर मनमाने कमांड निष्पादित करने की क्षमता प्रदान करता है। eSentire के थ्रेट रिस्पांस यूनिट (TRU) ने फरवरी 2026 में इसे एनर्जी, यूटिलिटीज और वेस्ट सेक्टर को लक्ष्य करते हुए पकड़ा था ।
DEV#POPPER के साथ तैनात, OmniStealer आक्रामक रूप से क्रिप्टोकरेंसी वॉलेट क्रेडेंशियल, प्राइवेट की, ब्राउज़र-स्टोर्ड क्रेडेंशियल, सत्र टोकन, API की, और CI/CD सीक्रेट्स को लक्ष्य करता है ।
PolinRider Contagious Interview अभियान का प्रत्यक्ष परिचालन विकास है। जबकि Contagious Interview ऐतिहासिक रूप से डेवलपर्स को ट्रोजनाइज़्ड प्रोजेक्ट स्थापित करने के लिए धोखा देने के लिए नकली नौकरी साक्षात्कार लालच और सोशल इंजीनियरिंग पर निर्भर था, PolinRider पूरी तरह से स्वचालित, सोशल-इंजीनियरिंग-मुक्त सप्लाई चेन समझौते की ओर एक बदलाव का प्रतिनिधित्व करता है ।
मुख्य अंतर और ओवरलैप में शामिल हैं:
OpenSourceMalware, Socket Security, Sonatype और अन्य शोधकर्ताओं के मार्गदर्शन के आधार पर, संगठनों को निम्नलिखित कदम उठाने चाहिए:
package.json, go.mod, और लॉकफाइल्स से हटाएं postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs और समान फ़ाइलों को जोड़े गए अस्पष्ट JavaScript के लिए स्कैन करें .vscode/ निर्देशिकाओं का निरीक्षण करें अप्रत्याशित tasks.json के लिए जिनमें ऑटो-रन कॉन्फ़िगरेशन हो .woff2 और अन्य बाइनरी एसेट फ़ाइलों की समीक्षा करें एम्बेडेड JavaScript के लिए npm auditsocket.dev स्कैनिंग) इंस्टॉलेशन से पहले