PolinRider — атака на цепочку поставок, приписываемая Северной Корее (группа Lazarus, кластер Contagious Interview). Опубликовано более 1 700 вредоносных пакетов npm в рамках более широкой операции Contagious Interview.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
Кампания PolinRider — одна из самых агрессивных и технически сложных атак на цепочку поставок открытого кода, когда-либо приписываемых Северной Корее. Впервые обнаруженная OpenSourceMalware в марте 2026 года, она быстро распространилась на несколько экосистем пакетов и инструментов разработчика, скомпрометировав почти 2 000 репозиториев GitHub и используя технологию блокчейн для устойчивости командных центров (C2) .
PolinRider приписывается Корейской Народно-Демократической Республике (КНДР) и связана с группой Lazarus. Она действует как подкампания в рамках более широкого кластера Contagious Interview (также известного как Famous Chollima) . Кампания операционно слилась с родственной кампанией TasksJacker, которая фокусируется на злоупотреблении автоматизацией задач в VS Code
.
Масштаб PolinRider огромен и быстро растет:
Кампания распространилась далеко за пределы npm, своего первоначального вектора:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt и debug-glit .vscode/tasks.json и внедренные конвейеры CI Кампания также скомпрометировала широко используемую библиотеку npm Axios (версии 1.14.1 и 0.30.0) в апреле 2026 года через вредоносную зависимость plain-crypto-js, затронув примерно 100 миллионов еженедельных загрузок .
Цепочка заражения PolinRider — тщательно организованный четырехступенчатый процесс, разработанный для максимальной скрытности и минимального взаимодействия с жертвой.
Злоумышленники добавляют сильно обфусцированный JavaScript в конец легитимных конфигурационных файлов разработчика, таких как postcss.config.mjs, tailwind.config.js, eslint.config.mjs и next.config.mjs . Вредоносные строки дополняются избыточными пробелами, что выталкивает код за пределы стандартной ширины просмотра IDE и делает его невидимым при беглом просмотре кода
.
PolinRider использует три основных метода сокрытия:
.woff2: Обфусцированный JavaScript маскируется под файл веб-шрифта — бинарный формат, который большинство разработчиков никогда не проверяют Вредоносные файлы .vscode/tasks.json внедряются в репозитории. Когда разработчик клонирует скомпрометированный репозиторий и открывает его в VS Code, задача выполняется автоматически без какого-либо дальнейшего взаимодействия с пользователем. Это полностью обходит этап социальной инженерии, использовавшийся в более ранних кампаниях Contagious Interview .
Деобфусцированный JavaScript-загрузчик получает полезную нагрузку следующего этапа, считывая зашифрованные данные, встроенные в транзакции криптовалютного блокчейна. Кампания использует блокчейн-сети TRON, Aptos и BSC (BNB Smart Chain) в качестве каналов C2 типа "мертвая капля" . Эта техника "etherhiding" чрезвычайно затрудняет удаление, так как данные C2 существуют неизменно в публичных блокчейнах.
PolinRider доставляет набор вредоносных нагрузок, каждая из которых имеет определенные возможности:
Основное семейство вредоносных программ — новая версия BeaverTail, известного JavaScript-вредоноса, связанного с операциями КНДР. Он действует как загрузчик первой ступени и сборщик учетных данных .
Цепочка заражения доставляет JavaScript-троян удаленного доступа (RAT), отслеживаемый как DEV#POPPER.js. Он обеспечивает полное удаленное выполнение кода (RCE), постоянный доступ и возможность выполнять произвольные команды на скомпрометированной рабочей станции разработчика. Подразделение реагирования на угрозы (TRU) компании eSentire обнаружило его в реальной атаке на сектор энергетики, коммунальных услуг и отходов в феврале 2026 года .
Развернутый вместе с DEV#POPPER, OmniStealer агрессивно нацелен на учетные данные криптовалютных кошельков, закрытые ключи, сохраненные в браузере учетные данные, токены сессий, ключи API и секреты CI/CD .
PolinRider является прямым операционным развитием кампании Contagious Interview. В то время как Contagious Interview исторически полагался на фиктивные предложения о работе и социальную инженерию, чтобы обманом заставить разработчиков установить троянизированные проекты, PolinRider представляет собой сдвиг в сторону полностью автоматической компрометации цепочки поставок без социальной инженерии .
Ключевые различия и пересечения:
Основываясь на рекомендациях OpenSourceMalware, Socket Security, Sonatype и других исследователей, организациям следует предпринять следующие шаги:
package.json, go.mod и файлов блокировок postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs и подобные на наличие добавленного обфусцированного JavaScript .vscode/ на наличие неожиданных tasks.json с конфигурациями автозапуска .woff2 и другие бинарные ассеты на наличие встроенного JavaScript npm auditsocket.dev) перед установкой Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider — атака на цепочку поставок, приписываемая Северной Корее (группа Lazarus, кластер Contagious Interview).
PolinRider — атака на цепочку поставок, приписываемая Северной Корее (группа Lazarus, кластер Contagious Interview). Опубликовано более 1 700 вредоносных пакетов npm в рамках более широкой операции Contagious Interview.
Кампания доставляет вредоносное ПО BeaverTail (JavaScript загрузчик/стилер), DEV POPPER.js (троян удаленного доступа) и OmniStealer (стилер информации, нацеленный на криптокошельки и учетные данные).