PolinRider to kampania przypisywana północnokoreańskiej grupie Lazarus (klaster Contagious Interview), która pod koniec kwietnia 2026 roku skompromitowała 1951 repozytoriów GitHub należących do 1047 właścicieli – licz... Opublikowano ponad 1700 złośliwych pakietów npm w ramach operacji Contagious Interview, a kampan...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
Kampania PolinRider to jeden z najbardziej agresywnych i zaawansowanych technicznie ataków na łańcuch dostaw oprogramowania open source, jaki kiedykolwiek przypisano Korei Północnej. Po raz pierwszy zgłoszona przez OpenSourceMalware w marcu 2026 roku, szybko rozprzestrzeniła się na wiele ekosystemów pakietów i narzędzi programistycznych, kompromitując prawie 2000 repozytoriów GitHub i wykorzystując technologię blockchain do odpornego na blokowanie kanału dowodzenia (C2) .
PolinRider jest przypisywany Koreańskiej Republice Ludowo-Demokratycznej (KRLD) i powiązany z grupą Lazarus. Działa jako podkampania w ramach szerszego klastra Contagious Interview (znanego również jako Famous Chollima) . Kampania połączyła się operacyjnie z pokrewną kampanią TasksJacker, która koncentruje się na nadużywaniu automatyzacji zadań VS Code
.
Skala PolinRider jest ogromna i szybko rośnie:
Kampania rozprzestrzeniła się daleko poza npm, swój początkowy wektor:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt i debug-glit .vscode/tasks.json i wstrzykniętych potoków CI Kampania skompromitowała również powszechnie używaną bibliotekę npm Axios (wersje 1.14.1 i 0.30.0) w kwietniu 2026 roku za pośrednictwem złośliwej zależności o nazwie plain-crypto-js, dotykając około 100 milionów tygodniowych pobrań .
Łańcuch infekcji PolinRider to starannie zaplanowany, czteroetapowy proces zaprojektowany, aby zmaksymalizować ukrycie i zminimalizować potrzebę interakcji ofiary.
Atakujący dołączają silnie zaciemniony JavaScript na końcu legalnych plików konfiguracyjnych programistów, takich jak postcss.config.mjs, tailwind.config.js, eslint.config.mjs i next.config.mjs . Złośliwe wiersze są dopełniane nadmiarem białych znaków, wypychając kod poza domyślną szerokość wyświetlania IDE, co czyni go niewidocznym podczas pobieżnego przeglądu kodu
.
PolinRider stosuje trzy podstawowe techniki ukrywania:
.woff2: Zaciemniony JavaScript jest maskowany jako plik czcionki internetowej – format binarny, którego większość programistów nigdy nie sprawdza Złośliwe pliki .vscode/tasks.json są wstrzykiwane do repozytoriów. Gdy programista klonuje skompromitowane repozytorium i otwiera je w VS Code, zadanie wykonuje się automatycznie bez żadnej interakcji użytkownika. To całkowicie omija krok socjotechniki stosowany we wcześniejszych kampaniach Contagious Interview .
Zdeobfuskowany moduł ładujący JavaScript pobiera ładunek następnego etapu, odczytując zaszyfrowane dane osadzone w transakcjach blockchain kryptowalut. Kampania wykorzystuje sieci blockchain TRON, Aptos i BSC (BNB Smart Chain) jako martwe kanały C2 . Ta technika „etherhidingu” sprawia, że usunięcie jest niezwykle trudne, ponieważ dane C2 istnieją niezmiennie w publicznych blockchainach.
PolinRider dostarcza zestaw złośliwych ładunków, każdy o określonych możliwościach:
Główna rodzina złośliwego oprogramowania to nowy wariant BeaverTail, znanego złośliwego oprogramowania JavaScript powiązanego z operacjami KRLD. Działa jako program ładujący pierwszego etapu i narzędzie do kradzieży danych uwierzytelniających .
Łańcuch infekcji dostarcza trojana JavaScript śledzonego jako DEV#POPPER.js. Zapewnia pełne zdalne wykonywanie kodu (RCE), trwały dostęp i możliwość wykonywania dowolnych poleceń na skompromitowanej stacji roboczej programisty. Zespół Reagowania na Zagrożenia (TRU) eSentire wykrył go w środowisku produkcyjnym atakującym sektor energetyczny, użyteczności publicznej i odpadowy w lutym 2026 roku .
Wdrożony wraz z DEV#POPPER, OmniStealer agresywnie celuje w dane uwierzytelniające portfeli kryptowalut, klucze prywatne, dane uwierzytelniające przechowywane w przeglądarkach, tokeny sesji, klucze API i sekrety CI/CD .
PolinRider to bezpośrednia ewolucja operacyjna kampanii Contagious Interview. Podczas gdy Contagious Interview historycznie polegał na fałszywych ofertach pracy i socjotechnice, aby nakłonić programistów do instalowania trojanizowanych projektów, PolinRider oznacza przejście w kierunku w pełni zautomatyzowanej, wolnej od socjotechniki kompromitacji łańcucha dostaw .
Kluczowe różnice i podobieństwa:
W oparciu o wytyczne OpenSourceMalware, Socket Security, Sonatype i innych badaczy, organizacje powinny podjąć następujące kroki:
package.json, go.mod i plików blokad postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs i podobne pod kątem dołączonego zaciemnionego JavaScriptu .vscode/ pod kątem nieoczekiwanych plików tasks.json z konfiguracjami automatycznego uruchamiania .woff2 i inne binarne pliki zasobów pod kątem osadzonego JavaScriptu npm auditsocket.dev) przed instalacją Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider to kampania przypisywana północnokoreańskiej grupie Lazarus (klaster Contagious Interview), która pod koniec kwietnia 2026 roku skompromitowała 1951 repozytoriów GitHub należących do 1047 właścicieli – licz...
PolinRider to kampania przypisywana północnokoreańskiej grupie Lazarus (klaster Contagious Interview), która pod koniec kwietnia 2026 roku skompromitowała 1951 repozytoriów GitHub należących do 1047 właścicieli – licz... Opublikowano ponad 1700 złośliwych pakietów npm w ramach operacji Contagious Interview, a kampania rozprzestrzeniła się na PyPI, Go, Packagist (PHP) i crates.io (Rust), a nawet skompromitowała popularną bibliotekę Axi...
Atak dostarcza złośliwe oprogramowanie BeaverTail (program ładujący i kradnący dane), DEV POPPER.js (trojan zdalnego dostępu) oraz OmniStealer (program kradnący portfele kryptowalut i dane uwierzytelniające) i stanowi...