PolinRider: Serangan Bersenjata Korea Utara Kompromi Hampir 2,000 Repositori GitHub
PolinRider adalah kempen rantaian bekalan Korea Utara (Lazarus/Contagious Interview) yang, sehingga akhir April 2026, telah mengkompromi 1,951 repositori GitHub milik 1,047 pemilik unik — meningkat hampir tiga kali ga... Lebih 1,700 pakej npm berniat jahat telah diterbitkan sebagai sebahagian daripada operasi Contag...
Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,An artist's conceptualization of the PolinRider supply chain attack chain, showing the compromise of open-source ecosystems.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
openai.com
Kempen PolinRider merupakan salah satu serangan rantaian bekalan sumber terbuka yang paling agresif dan canggih dari segi teknikal yang pernah dikaitkan dengan Korea Utara. Pertama kali dikesan oleh OpenSourceMalware pada Mac 2026, ia telah berkembang pesat merentas pelbagai ekosistem pakej dan alatan pembangun, menjejaskan hampir 2,000 repositori GitHub dan menggunakan teknologi blockchain untuk perintah-dan-kawalan (C2) yang tahan lasak .
Atribusi dan Identiti Kempen
PolinRider dikaitkan dengan Republik Rakyat Demokratik Korea (DPRK) dan sejajar dengan Kumpulan Lazarus. Ia beroperasi sebagai sub-kempen dalam kelompok Contagious Interview yang lebih luas (juga dikesan sebagai Famous Chollima) . Kempen ini telah bergabung secara operasi dengan kempen berkaitan TasksJacker, yang memberi tumpuan kepada menyalahgunakan tugas automasi VS Code .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "PolinRider: Serangan Bersenjata Korea Utara Kompromi Hampir 2,000 Repositori GitHub"?
PolinRider adalah kempen rantaian bekalan Korea Utara (Lazarus/Contagious Interview) yang, sehingga akhir April 2026, telah mengkompromi 1,951 repositori GitHub milik 1,047 pemilik unik — meningkat hampir tiga kali ga...
What are the key points to validate first?
PolinRider adalah kempen rantaian bekalan Korea Utara (Lazarus/Contagious Interview) yang, sehingga akhir April 2026, telah mengkompromi 1,951 repositori GitHub milik 1,047 pemilik unik — meningkat hampir tiga kali ga... Lebih 1,700 pakej npm berniat jahat telah diterbitkan sebagai sebahagian daripada operasi Contagious Interview yang lebih luas, dengan kempen merebak ke PyPI, Go, Packagist (PHP), dan crates.io (Rust), malah menjejask...
What should I do next in practice?
Kempen ini menyampaikan perisian hasad BeaverTail (pemuat turun/pencuri maklumat JavaScript), DEV POPPER.js (trojan akses jauh), dan OmniStealer (pencuri maklumat yang menyasarkan dompet kripto dan bukti kelayakan) da...
Skala PolinRider adalah besar dan berkembang pesat:
1,951 repositori GitHub terjejas milik 1,047 pemilik unik setakat akhir April 2026
Jumlah repositori terjejas hampir tiga kali ganda dalam tempoh lima minggu selepas pendedahan awal
Lebih daripada 1,700 pakej npm berniat jahat telah diterbitkan sebagai sebahagian daripada operasi Contagious Interview yang lebih luas
Ekosistem yang Disasarkan
Kempen ini telah merebak jauh melampaui npm, vektor awalnya:
npm (Node.js): Sasaran utama, dengan ratusan pakej berniat jahat termasuk dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, dan debug-glit
PyPI (Python): Pakej Python diedarkan sebagai sebahagian daripada operasi Contagious Interview
Go (Go Module Mirror): Pakej Go berniat jahat dikenal pasti oleh Socket Security
Packagist (PHP/Composer): Berkembang ke ekosistem ini menjelang Julai 2026
Rust (crates.io): Disasarkan dalam kempen yang lebih luas
Tindakan GitHub dan sambungan VS Code: Terjejas melalui fail .vscode/tasks.json berniat jahat dan saluran paip CI yang disuntik
Kempen ini juga menjejaskan pustaka Axios npm yang digunakan secara meluas (versi 1.14.1 dan 0.30.0) pada April 2026 melalui kebergantungan berniat jahat bernama plain-crypto-js, yang menjejaskan kira-kira 100 juta muat turun mingguan .
Teknik Jangkitan Berbilang Peringkat
Rantai jangkitan PolinRider adalah proses empat peringkat yang dirancang dengan teliti untuk memaksimumkan siluman dan meminimumkan keperluan interaksi mangsa.
Peringkat 1: Pemuat JavaScript Kabur dalam Fail Konfigurasi
Penyerang menambahkan JavaScript yang sangat kabur ke hujung fail konfigurasi pembangun yang sah seperti postcss.config.mjs, tailwind.config.js, eslint.config.mjs, dan next.config.mjs. Baris berniat jahat dilapisi dengan ruang putih berlebihan, menolak kod melampaui lebar tontonan IDE lalai dan menjadikannya tidak kelihatan semasa semakan kod kasual .
Peringkat 2: Kaedah Penyembunyian Canggih
PolinRider menggunakan tiga teknik penyembunyian utama:
Fail font .woff2 palsu: JavaScript yang kabur disamarkan sebagai fail font web, format binari yang jarang diperiksa oleh pembangun
Pelapik ruang putih: Baris boleh laku dilapisi jauh ke kanan ruang pandang yang boleh dilihat
Pemalsuan sejarah Git (ForceMemo): Modul yang menulis semula sejarah Git, pemalsuan komit berniat jahat kembali ke tarikh berbulan-bulan untuk kelihatan seperti penyelenggaraan rutin daripada penyelenggara yang sah
Peringkat 3: Pelaksanaan Tugas VS Code (TasksJacker)
Fail .vscode/tasks.json berniat jahat disuntik ke dalam repositori. Apabila pembangun mengklon repositori yang terjejas dan membukanya dalam VS Code, tugas dilaksanakan secara automatik tanpa memerlukan interaksi pengguna selanjutnya. Ini memintas langkah kejuruteraan sosial yang digunakan dalam kempen Contagious Interview yang lebih awal .
Peringkat 4: Pengambilan Muatan Berasaskan Blockchain (C2)
Pemuat JavaScript yang dinyahkaburkan mendapatkan muatan peringkat seterusnya dengan membaca data yang disulitkan yang tertanam dalam transaksi blockchain mata wang kripto. Kempen ini menggunakan rangkaian blockchain TRON, Aptos, dan BSC (BNB Smart Chain) sebagai saluran C2 dead-drop . Teknik "etherhiding" ini menjadikan pengambilalihan sangat sukar kerana data C2 wujud secara tidak berubah pada blockchain awam.
Muatan Perisian Hasad Yang Dihantar
PolinRider menyampaikan satu set muatan berniat jahat, masing-masing dengan keupayaan khusus:
BeaverTail (Dropper/Pencuri Maklumat Berasaskan JavaScript)
Keluarga perisian hasad utama yang dihantar adalah varian baharu BeaverTail, perisian hasad berasaskan JavaScript yang diketahui berkaitan dengan operasi DPRK. Ia bertindak sebagai dropper peringkat pertama dan pengumpul bukti kelayakan .
DEV#POPPER.js (Trojan Akses Jauh)
Rantaian jangkitan menyampaikan RAT berasaskan JavaScript yang dikesan sebagai DEV#POPPER.js. Ia menyediakan keupayaan pelaksanaan kod jauh (RCE) penuh, akses berterusan, dan keupayaan untuk melaksanakan arahan sewenang-wenangnya pada stesen kerja pembangun yang terjejas. Unit Tindak Balas Ancaman (TRU) eSentire mengesannya dalam alam liar yang menyasarkan sektor Tenaga, Utiliti, dan Sisa pada Februari 2026 .
OmniStealer (Pencuri Maklumat)
Digunakan bersama DEV#POPPER, OmniStealer secara agresif menyasarkan bukti kelayakan dompet mata wang kripto, kunci peribadi, bukti kelayakan yang disimpan dalam penyemak imbas, token sesi, kunci API, dan rahsia CI/CD .
Muatan Lain
PylangGhost: Pintu belakang berasaskan Python, menandakan kali pertama perisian hasad ini disebarkan melalui pakej npm
Pintu belakang Socket.io: Mewujudkan komunikasi shell terbalik yang berterusan dengan infrastruktur penyerang
Kaitan dengan Contagious Interview
PolinRider adalah evolusi operasi langsung kempen Contagious Interview. Walaupun Contagious Interview secara sejarah bergantung pada umpan temu duga kerja palsu dan kejuruteraan sosial untuk memperdaya pembangun memasang projek trojan, PolinRider mewakili peralihan ke arah kompromi rantaian bekalan automatik sepenuhnya, tanpa kejuruteraan sosial.
Perbezaan dan pertindihan utama termasuk:
Kedua-dua kempen berkongsi keluarga perisian hasad BeaverTail yang sama dan infrastruktur C2 yang bertindih
PolinRider/TasksJacker menghapuskan lapisan sosial sepenuhnya — kompromi berlaku secara automatik melalui pakej berniat jahat dan tugas jalan automatik VS Code
Kedua-duanya menggunakan pengambilan muatan berasaskan blockchain
Tindak Balas Pertahanan yang Disyorkan
Berdasarkan panduan daripada OpenSourceMalware, Socket Security, Sonatype, dan penyelidik lain, organisasi perlu mengambil langkah berikut:
Tindakan Segera
Anggap mana-mana persekitaran yang terjejas sebagai terkompromi sepenuhnya — anggap kecurian bukti kelayakan dan rahsia berlaku sehingga dibuktikan sebaliknya
Alih keluar pakej terjejas daripada package.json, go.mod, dan fail kunci
Semak semua aktiviti rangkaian keluar dari stesen kerja pembangun, terutamanya sambungan ke nod blockchain dan IP yang tidak diketahui
Hentikan kerja pada mana-mana pangkalan kod yang menjalankan pakej terjejas — kembalikan kepada komit dari sebelum tetingkap kompromi yang diketahui
Simpan bukti forensik (log, imej cakera) sebelum pemulihan
Pembersihan Kod dan Repositori
Imbas semua fail postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs dan fail serupa untuk JavaScript kabur yang ditambahkan
Periksa direktori .vscode/ untuk tasks.json yang tidak dijangka dengan konfigurasi jalan automatik
Semak fail .woff2 dan aset binari lain untuk JavaScript terbenam
Audit sejarah Git untuk komit bertarikh mundur daripada pengarang yang tidak diketahui — jangan percaya sejarah komit yang boleh dilihat sahaja
Pengerasan Jangka Panjang
Laksanakan penapisan egress pada rangkaian pembangun untuk menyekat sambungan keluar
Lumpuhkan tugas jalan automatik VS Code dalam persekitaran pembangunan di mana tidak diperlukan secara jelas
Gunakan peraturan analisis statik — Datadog menawarkan peraturan pengesanan PolinRider khusus untuk pengimbasan keselamatan kod JavaScript/Node.js
Pantau untuk penunjuk C2 berasaskan blockchain — carian DNS luar biasa ke API blockchain atau sambungan keluar bukan standard pada mesin pembangun
Bina semula daripada fail kunci yang diketahui baik dan putar semula semua rahsia, kunci API, dan kunci kriptografi yang mungkin terdedah pada mana-mana stesen kerja yang terjejas