PolinRider เป็นแคมเปญโจมตีซัพพลายเชนจากเกาหลีเหนือ (กลุ่ม Lazarus/Contagious Interview) ที่จนถึงปลายเมษายน 2026 ได้เจาะ GitHub จำนวน 1,951 repositories จาก 1,047 ผู้ใช้ โดยเพิ่มขึ้นประมาณสามเท่าในห้าสัปดาห์ มีการเผยแพร่ npm package อันตรายมากกว่า 1,700 ตัว จากนั้นแพร่กระจายไปยัง PyPI, Go, Packagist (PHP) และ crates....

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
แคมเปญ PolinRider นับเป็นการโจมตีซัพพลายเชนโอเพนซอร์สที่รุนแรงและล้ำหน้าที่สุดครั้งหนึ่งที่เชื่อมโยงกับเกาหลีเหนือ โดยถูกตรวจพบครั้งแรกโดย OpenSourceMalware ในเดือนมีนาคม 2026 และได้ขยายตัวอย่างรวดเร็วไปยังระบบนิเวศของแพ็กเกจและเครื่องมือนักพัฒนาหลายประเภท มีการเจาะ GitHub เกือบ 2,000 repositories และใช้เทคโนโลยี Blockchain เพื่อให้เซิร์ฟเวอร์ C2 (Command-and-Control) มีความยืดหยุ่นสูง
PolinRider ถูกระบุว่าเป็นฝีมือของเกาหลีเหนือ (DPRK) และเชื่อมโยงกับกลุ่ม Lazarus โดยเป็นแคมเปญย่อยในเครือข่ายของ Contagious Interview (หรือที่รู้จักในชื่อ Famous Chollima) แคมเปญนี้ได้รวมการปฏิบัติการเข้ากับ TasksJacker ซึ่งเน้นการปลอมแปลง Task Automation ใน VS Code
ขนาดของ PolinRider นั้นกว้างใหญ่และเติบโตอย่างรวดเร็ว:
แคมเปญนี้แพร่กระจายไปไกลเกินกว่า npm ซึ่งเป็นช่องทางแรก:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, และ debug-glit .vscode/tasks.json และ CI pipelines ที่ถูกแทรก นอกจากนี้ แคมเปญยังเจาะไลบรารี Axios npm ที่ใช้กันอย่างแพร่หลาย (เวอร์ชัน 1.14.1 และ 0.30.0) ในเดือนเมษายน 2026 ผ่าน dependency ที่เป็นอันตรายชื่อ plain-crypto-js ซึ่งส่งผลกระทบต่อการดาวน์โหลดประมาณ 100 ล้านครั้งต่อสัปดาห์
ห่วงโซ่การติดเชื้อของ PolinRider เป็นกระบวนการสี่ขั้นตอนที่ถูกวางแผนมาอย่างพิถีพิถัน เพื่อให้มีความลับสูงสุดและต้องการการโต้ตอบจากเหยื่อน้อยที่สุด
ผู้โจมตีจะต่อท้าย JavaScript ที่ถูกทำให้สับสนอย่างหนักไว้ที่ท้ายไฟล์คอนฟิกของนักพัฒนาที่ถูกต้อง เช่น postcss.config.mjs, tailwind.config.js, eslint.config.mjs, และ next.config.mjs บรรทัดที่อันตรายเหล่านี้จะถูกบุด้วยช่องว่างจำนวนมาก ทำให้โค้ดอยู่นอกขอบเขตการมองเห็นเริ่มต้นของ IDE และมองไม่เห็นในระหว่างการตรวจสอบโค้ดแบบคร่าวๆ
PolinRider ใช้เทคนิคการซ่อนตัวหลักสามวิธี:
.woff2 ปลอม: JavaScript ที่ถูกทำให้สับสนจะถูกปลอมเป็นไฟล์ฟอนต์เว็บ ซึ่งเป็นรูปแบบไบนารีที่นักพัฒนาส่วนใหญ่ไม่เคยตรวจสอบ ไฟล์ .vscode/tasks.json ที่เป็นอันตรายจะถูกแทรกลงใน repositories เมื่อนักพัฒนา clone repo ที่ถูกเจาะและเปิดใน VS Code งานจะทำงาน โดยอัตโนมัติ โดยไม่ต้องมีการโต้ตอบจากผู้ใช้อีก ซึ่งเป็นการข้ามขั้นตอนวิศวกรรมสังคมที่ใช้ในแคมเปญ Contagious Interview ก่อนหน้านี้โดยสิ้นเชิง
ตัวโหลด JavaScript ที่ถูกถอดรหัสจะดึง payload ขั้นต่อไปโดยการอ่านข้อมูลที่เข้ารหัสที่ฝังอยู่ในธุรกรรมของ Blockchain สกุลเงินดิจิทัล แคมเปญใช้เครือข่าย Blockchain TRON, Aptos, และ BSC (BNB Smart Chain) เป็นช่องทาง C2 แบบ Dead-Drop เทคนิค "etherhiding" นี้ทำให้การถอดถอนทำได้ยากมาก เนื่องจากข้อมูล C2 มีอยู่อย่างไม่เปลี่ยนแปลงบน Blockchain สาธารณะ
PolinRider ส่งชุดมัลแวร์หลายตัว แต่ละตัวมีความสามารถเฉพาะ:
ตระกูลมัลแวร์หลักที่ส่งคือ BeaverTail สายพันธุ์ใหม่ ซึ่งเป็นมัลแวร์ JavaScript ที่รู้จักกันดีซึ่งเชื่อมโยงกับปฏิบัติการของ DPRK มันทำหน้าที่เป็นตัว dropper และ credential harvester ในขั้นแรก
ห่วงโซ่การติดเชื้อจะส่ง RAT ที่ใช้ JavaScript ซึ่งถูกติดตามในชื่อ DEV#POPPER.js มันให้ความสามารถในการ Remote Code Execution (RCE) แบบเต็มรูปแบบ การเข้าถึงแบบถาวร และความสามารถในการรันคำสั่งต่างๆ บนเวิร์กสเตชันของนักพัฒนาที่ถูกเจาะ eSentire's Threat Response Unit (TRU) ตรวจพบมันในโลกแห่งความจริงที่โจมตีภาคพลังงาน สาธารณูปโภค และของเสียในเดือนกุมภาพันธ์ 2026
ถูกปรับใช้ควบคู่ไปกับ DEV#POPPER โดย OmniStealer จะโจมตีข้อมูลประจำตัวของกระเป๋าเงินคริปโต คีย์ส่วนตัว ข้อมูลประจำตัวที่เก็บไว้ในเบราว์เซอร์ โทเค็นเซสชัน คีย์ API และความลับของ CI/CD อย่างรุนแรง
PolinRider เป็นวิวัฒนาการโดยตรงของแคมเปญ Contagious Interview ในขณะที่ Contagious Interview ก่อนหน้านี้ต้องอาศัยกลอุบายสัมภาษณ์งานปลอมและวิศวกรรมสังคมเพื่อหลอกนักพัฒนาให้ติดตั้งโปรเจกต์ที่ถูกดัดแปลง PolinRider ถือเป็นการเปลี่ยนแปลงไปสู่การประนีประนอมซัพพลายเชนแบบ อัตโนมัติเต็มรูปแบบที่ไม่ต้องใช้วิศวกรรมสังคม
ความแตกต่างและความทับซ้อนที่สำคัญ:
จากคำแนะนำของ OpenSourceMalware, Socket Security, Sonatype และนักวิจัยอื่นๆ องค์กรควรดำเนินการดังต่อไปนี้:
package.json, go.mod, และไฟล์ lockfile postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs และไฟล์ที่คล้ายกันทั้งหมดเพื่อหา JavaScript ถูกทำให้สับสนที่ถูกต่อท้าย .vscode/ เพื่อหา tasks.json ที่ไม่คาดคิดซึ่งมีการตั้งค่าให้ทำงานอัตโนมัติ .woff2 และไฟล์ไบนารีอื่นๆ ว่ามี JavaScript ฝังอยู่หรือไม่ npm auditsocket.dev) ก่อนการติดตั้ง Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider เป็นแคมเปญโจมตีซัพพลายเชนจากเกาหลีเหนือ (กลุ่ม Lazarus/Contagious Interview) ที่จนถึงปลายเมษายน 2026 ได้เจาะ GitHub จำนวน 1,951 repositories จาก 1,047 ผู้ใช้ โดยเพิ่มขึ้นประมาณสามเท่าในห้าสัปดาห์
PolinRider เป็นแคมเปญโจมตีซัพพลายเชนจากเกาหลีเหนือ (กลุ่ม Lazarus/Contagious Interview) ที่จนถึงปลายเมษายน 2026 ได้เจาะ GitHub จำนวน 1,951 repositories จาก 1,047 ผู้ใช้ โดยเพิ่มขึ้นประมาณสามเท่าในห้าสัปดาห์ มีการเผยแพร่ npm package อันตรายมากกว่า 1,700 ตัว จากนั้นแพร่กระจายไปยัง PyPI, Go, Packagist (PHP) และ crates.io (Rust) และยังเจาะ Axios ซึ่งเป็นไลบรารียอดนิยมที่มีการดาวน์โหลด 100 ล้านครั้งต่อสัปดาห์
มัลแวร์ที่ใช้คือ BeaverTail (dropper/stealer), DEV POPPER.js (RAT), และ OmniStealer (ขโมยข้อมูล crypto wallet) โดยใช้ Blockchain ในการซ่อน C2 ทำให้ถอดถอนได้ยาก