PolinRider: Nordkoreas forsyningskjedeangrep mot utviklere har nådd et kritisk nivå
PolinRider er en nordkoreansk (Lazarus/Contagious Interview klyngen) forsyningskjedeaksjon som innen slutten av april 2026 har kompromittert 1.951 GitHub repositorier tilhørende 1.047 unike eiere – en tredobling på fe... Mer enn 1700 ondsinnede npm pakker er publisert i den bredere Contagious Interview operasjonen,...
Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,An artist's conceptualization of the PolinRider supply chain attack chain, showing the compromise of open-source ecosystems.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
openai.com
PolinRider-kampanjen er et av de mest aggressive og teknisk sofistikerte angrepene på åpen kildekode noensinne, tilskrevet Nord-Korea. Den ble først flagget av OpenSourceMalware i mars 2026 og har raskt ekspandert over flere pakkeøkosystemer og utviklerverktøykjeder. Angrepet har kompromittert nesten 2000 GitHub-repositorier og utnytter blokkjede-teknologi for å gjøre kommandokanalen (C2) svært motstandsdyktig mot nedstenging .
Hvem står bak – og hva er PolinRider egentlig?
PolinRider tilskrives Den demokratiske folkerepublikken Korea (DPRK) og er knyttet til den beryktede Lazarus-gruppen. Det er en underkampanje innenfor den bredere Contagious Interview-klyngen (også kjent som Famous Chollima) . Kampanjen har operativt smeltet sammen med den beslektede TasksJacker-kampanjen, som utnytter VS Codes automatiske oppgavekjøring .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "PolinRider: Nordkoreas forsyningskjedeangrep mot utviklere har nådd et kritisk nivå"?
PolinRider er en nordkoreansk (Lazarus/Contagious Interview klyngen) forsyningskjedeaksjon som innen slutten av april 2026 har kompromittert 1.951 GitHub repositorier tilhørende 1.047 unike eiere – en tredobling på fe...
What are the key points to validate first?
PolinRider er en nordkoreansk (Lazarus/Contagious Interview klyngen) forsyningskjedeaksjon som innen slutten av april 2026 har kompromittert 1.951 GitHub repositorier tilhørende 1.047 unike eiere – en tredobling på fe... Mer enn 1700 ondsinnede npm pakker er publisert i den bredere Contagious Interview operasjonen, og kampanjen har spredt seg til PyPI, Go, Packagist (PHP) og crates.io (Rust), samt kompromittert VS Code utvidelser og G...
What should I do next in practice?
Kampanjen leverer BeaverTail (JavaScript basert dropper/stealer), DEV POPPER.js (RAT) og OmniStealer (informasjonsstjeler) og representerer en farlig automatiseringsdrevet videreutvikling av forsyningskjedeangrep uten...
PolinRider har et enormt omfang som fortsetter å vokse raskt:
1.951 kompromitterte GitHub-repositorier tilhørende 1.047 unike eiere per slutten av april 2026
Antallet berørte repositorier er omtrent tredoblet i løpet av de fem ukene etter den første avsløringen
Mer enn 1.700 ondsinnede npm-pakker er publisert som en del av den bredere Contagious Interview-operasjonen
Hvilke økosystemer er rammet?
Kampanjen har spredt seg langt utover npm, som var den opprinnelige angrepsvektoren:
npm (Node.js): Hovedmålet, med hundrevis av ondsinnede pakker som dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt og debug-glit
PyPI (Python): Python-pakker distribuert som en del av Contagious Interview-operasjonen
Go (Go Module Mirror): Ondsinnede Go-pakker identifisert av Socket Security
Packagist (PHP/Composer): Utvidet til dette økosystemet i juli 2026
Rust (crates.io): Målrettet i den bredere kampanjen
GitHub Actions og VS Code-utvidelser: Kompromittert via ondsinnede .vscode/tasks.json-filer og infiserte CI-pipelines
Kampanjen kompromitterte også den mye brukte Axios npm-biblioteket (versjon 1.14.1 og 0.30.0) i april 2026 via en ondsinnet avhengighet kalt plain-crypto-js, som påvirket omtrent 100 millioner ukentlige nedlastninger .
Fire-trinns infeksjonsmetode – usynlig for det blotte øye
PolinRider-infeksjonskjeden er nøye orkestrert i fire stadier, designet for maksimal skjult operasjon.
Stadie 1: Obfuskert JavaScript i konfigurasjonsfiler
Angriperne legger sterkt obfuskert JavaScript til slutten av legitime utviklerkonfigurasjonsfiler som postcss.config.mjs, tailwind.config.js, eslint.config.mjs og next.config.mjs. De ondsinnede linjene er polstret med store mengder mellomrom, noe som skyver koden utenfor standard IDE-visningsbredde og gjør den usynlig under vanlig kodegjennomgang .
Stadie 2: Avanserte skjulemetoder
PolinRider bruker tre primære skjuleteknikker:
Falske .woff2-fontfiler: Det obfuskerte JavaScriptet forkles som en nettfontfil – et binært format de fleste utviklere aldri inspiserer
Mellomromspadding: Kjørbare linjer skyldes langt til høyre utenfor synlig visningsområde
Git-historikkforfalskning (ForceMemo): En modul som omskriver Git-historikken og tilbakedaterer ondsinnede commits med flere måneder, slik at de fremstår som rutinemessig vedlikehold fra legitime bidragsytere
Stadie 3: VS Code-oppgavekjøring (TasksJacker)
Ondsinnede .vscode/tasks.json-filer injiseres i repositorier. Når en utvikler kloner et kompromittert repo og åpner det i VS Code, kjører oppgaven automatisk uten ytterligere brukerinteraksjon. Dette omgår sosial manipulasjon – et stort steg opp fra tidligere Contagious Interview-kampanjer .
Stadie 4: Blokkjede-basert nyttelasthenting (C2)
Den deobfuskerte JavaScript-lasteren henter neste trinns nyttelast ved å lese krypterte data innebygd i kryptovalutatransaksjoner. Kampanjen bruker TRON, Aptos og BSC (BNB Smart Chain) som «dead-drop»-C2-kanaler . Denne «etherhiding»-teknikken gjør nedstigning ekstremt vanskelig, siden C2-dataene ligger uforanderlig på offentlige blokkjeder.
Skadevare som leveres
PolinRider leverer en suite av ondsinnede nyttelaster:
Den primære skadevarefamilien er en ny variant av BeaverTail, kjent JavaScript-basert skadevare knyttet til DPRK-operasjoner. Den fungerer som en førstetrinns dropper og passordhøster .
DEV#POPPER.js (RAT – eksternt tilgangstrojaner)
Infeksjonskjeden leverer en JavaScript-basert RAT sporet som DEV#POPPER.js. Den gir full ekstern kodekjøring (RCE), vedvarende tilgang og evnen til å kjøre vilkårlige kommandoer på den kompromitterte utviklerens arbeidsstasjon. eSentires Threat Response Unit (TRU) oppdaget den i drift mot energi-, forsynings- og avfallssektoren i februar 2026 .
OmniStealer (informasjonsstjeler)
OmniStealer målretter aggressivt:
Påloggingsinformasjon for kryptovaluta-lommebøker og private nøkler
Nettleserlagrede legitimasjoner
Sesjonstokener og API-nøkler
Miljøvariabler og CI/CD-hemmeligheter
Andre nyttelaster
PylangGhost: En Python-basert bakdør – første gang denne skadevaren ble spredd via npm-pakker
Socket.io-bakdør: Etablerer vedvarende reverse-shell-kommunikasjon med angriperinfrastruktur
Koblingen til Contagious Interview
PolinRider er en direkte operasjonell videreutvikling av Contagious Interview-kampanjen. Mens Contagious Interview historisk har stolt på falske jobbintervjuer og sosial manipulasjon for å lure utviklere til å installere trojaniserte prosjekter, representerer PolinRider et skifte mot fullautomatisert, sosial-manipulasjonsfri forsyningskjedekompromittering .
Viktige forskjeller og overlappinger:
Begge kampanjene deler samme BeaverTail-skadevarefamilie og overlappende C2-infrastruktur
PolinRider/TasksJacker eliminerer det sosiale laget fullstendig – kompromittering skjer automatisk via ondsinnede pakker og VS Codes automatiske oppgavekjøring
Begge bruker blokkjede-basert nyttelasthenting
Anbefalt forsvar
Basert på veiledning fra OpenSourceMalware, Socket Security, Sonatype og andre forskere, bør organisasjoner ta følgende skritt:
Umiddelbare tiltak
Behandle ethvert berørt miljø som fullstendig kompromittert – anta at legitimasjon og hemmeligheter er stjålet inntil det motsatte er bevist
Fjern berørte pakker fra package.json, go.mod og låsefiler
Gjennomgå all utgående nettverksaktivitet fra utviklerarbeidsstasjoner, spesielt tilkoblinger til blokkjedenoder og ukjente IP-adresser
Stanse arbeidet på kodebaser som har kjørt en berørt pakke – gå tilbake til commits fra før kjent kompromitteringsvindu
Ta vare på rettsmedisinske bevis (logger, diskbilder) før opprydding
Kode- og repository-opprydding
Skann alle postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs og lignende filer for påført obfuskert JavaScript
Inspiser .vscode/-kataloger for uventede tasks.json-filer med automatisk oppkjøring
Gjennomgå .woff2- og andre binære ressursfiler for innebygget JavaScript
Revidér Git-historikken for tilbakedaterte commits fra ukjente forfattere – stol ikke på synlig commit-historikk alene
Langsiktig sikring
Implementer egressfiltrering på utviklernettverk for å begrense utgående tilkoblinger
Bruk pakkeintegritetsverifisering (låsefiler, sjekksumvalidering,
npm audit
, socket.dev-skanning) før installasjon
Deaktiver VS Codes automatiske oppgavekjøring i utviklingsmiljøer der det ikke er eksplisitt nødvendig
Distribuer statiske analyseregler – Datadog tilbyr en dedikert PolinRider-deteksjonsregel for JavaScript/Node.js-kodesikkerhetsskanning
Overvåk for blokkjede-baserte C2-indikatorer – uvanlige DNS-oppslag til blokkjede-APIer eller ikke-standard utgående tilkoblinger på utviklermaskiner
Bygg fra kjente-gode låsefiler og roter alle hemmeligheter, API-nøkler og kryptografiske nøkler som kan ha blitt eksponert på en berørt arbeidsstasjon