PolinRider, Kuzey Koreli Lazarus Grubu'na (Contagious Interview kümesi) atfedilen bir tedarik zinciri saldırısıdır. Kampanya kapsamında 1.700'den fazla kötü niyetli npm paketi yayınlanmış; saldırı PyPI, Go, Packagist (PHP) ve crates.io (Rust) ekosistemlerine de sıçramıştır.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
PolinRider kampanyası, Kuzey Kore'ye atfedilen en agresif ve teknik olarak en gelişmiş açık kaynak tedarik zinciri saldırılarından biridir. OpenSourceMalware tarafından Mart 2026'da ilk kez tespit edilen bu kampanya, birden fazla paket ekosistemine ve geliştirici araç zincirine hızla yayılarak yaklaşık 2.000 GitHub deposunu tehlikeye atmış ve komuta kontrol (C2) için blockchain teknolojisini kullanmıştır .
PolinRider, Demokratik Kore Halk Cumhuriyeti'ne (DPRK) atfedilmekte ve Lazarus Grubu ile ilişkilendirilmektedir. Daha geniş kapsamlı Contagious Interview kümesinin (Famous Chollima olarak da bilinir) bir alt kampanyası olarak faaliyet göstermektedir . Kampanya, VS Code görev otomasyonunu kötüye kullanan TasksJacker kampanyasıyla operasyonel olarak birleşmiştir
.
PolinRider'ın etki alanı geniş ve hızla büyümektedir:
Kampanya, ilk vektörü olan npm'in çok ötesine yayılmıştır:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt ve debug-glit gibi paketler buna dahildir .vscode/tasks.json dosyaları ve bulaştırılmış CI pipeline'ları aracılığıyla tehlikeye atılmıştır Kampanya ayrıca, Nisan 2026'da plain-crypto-js adlı kötü niyetli bir bağımlılık aracılığıyla yaygın olarak kullanılan Axios npm kütüphanesinin (sürüm 1.14.1 ve 0.30.0) bazı sürümlerini de ele geçirmiş ve haftalık yaklaşık 100 milyon indirmeyi etkilemiştir .
PolinRider enfeksiyon zinciri, gizliliği en üst düzeye çıkarmak ve kurban etkileşimini en aza indirmek için dikkatlice düzenlenmiş dört aşamalı bir süreçtir.
Saldırganlar, postcss.config.mjs, tailwind.config.js, eslint.config.mjs ve next.config.mjs gibi meşru geliştirici yapılandırma dosyalarının sonuna ağır şekilde gizlenmiş JavaScript kodları eklerler . Kötü niyetli satırlar, fazladan boşluklarla doldurularak kodun varsayılan IDE görüntüleme genişliğinin ötesine itilir ve bu da kod incelemesi sırasında görünmez olmasını sağlar
.
PolinRider üç ana gizleme tekniği kullanır:
.woff2 yazı tipi dosyaları: Gizlenmiş JavaScript, çoğu geliştiricinin incelemediği bir ikili dosya biçimi olan web yazı tipi dosyası gibi gizlenir Depolara kötü niyetli .vscode/tasks.json dosyaları enjekte edilir. Bir geliştirici, ele geçirilmiş bir depoyu klonlayıp VS Code'da açtığında, görev otomatik olarak ve hiçbir kullanıcı etkileşimi olmadan çalışır. Bu, önceki Contagious Interview kampanyalarında kullanılan sosyal mühendislik adımını tamamen ortadan kaldırır .
Gizlenmiş JavaScript yükleyici, bir sonraki aşama yükünü, kripto para blockchain işlemlerine gömülü şifrelenmiş verileri okuyarak alır. Kampanya, TRON, Aptos ve BSC (BNB Smart Chain) blockchain ağlarını ölü posta kutusu C2 kanalları olarak kullanır . Bu "etherhiding" tekniği, C2 verileri halka açık blockchain'lerde değiştirilemez bir şekilde bulunduğundan, kapatmayı son derece zorlaştırır.
PolinRider, her biri belirli yeteneklere sahip bir dizi kötü amaçlı yük dağıtır:
Dağıtılan birincil kötü amaçlı yazılım ailesi, DPRK operasyonlarıyla ilişkili, JavaScript tabanlı bir kötü amaçlı yazılım olan BeaverTail'in yeni bir çeşididir. İlk aşama indirici ve kimlik bilgisi toplayıcı görevi görür .
Enfeksiyon zinciri, DEV#POPPER.js olarak takip edilen JavaScript tabanlı bir RAT dağıtır. Bu yazılım, tam uzaktan kod yürütme (RCE), kalıcı erişim ve ele geçirilmiş geliştirici iş istasyonunda rastgele komutlar çalıştırma yeteneği sağlar. eSentire'nin Tehdit Müdahale Birimi (TRU), Şubat 2026'da Enerji, Kamu Hizmetleri ve Atık sektörünü hedef alan bu yazılımı tespit etmiştir .
DEV#POPPER ile birlikte dağıtılan OmniStealer, agresif bir şekilde kripto para cüzdanı kimlik bilgilerini, özel anahtarları, tarayıcıda saklanan kimlik bilgilerini, oturum belirteçlerini, API anahtarlarını ve CI/CD sırlarını hedef alır .
PolinRider, Contagious Interview kampanyasının doğrudan operasyonel bir evrimidir. Contagious Interview geçmişte sahte iş görüşmesi yemleri ve sosyal mühendislik kullanarak geliştiricileri truva atı yerleştirilmiş projeleri yüklemeye ikna ederken, PolinRider tamamen otomatik, sosyal mühendislik gerektirmeyen tedarik zinciri tehlikeye atmaya doğru bir geçişi temsil etmektedir .
Temel farklılıklar ve örtüşmeler şunlardır:
OpenSourceMalware, Socket Security, Sonatype ve diğer araştırmacıların rehberliğine dayanarak kuruluşların aşağıdaki adımları atması gerekir:
package.json, go.mod ve kilit dosyalarından kaldırın postcss.config.mjs, tailwind.config.js, eslint.config.mjs ve next.config.mjs benzeri dosyaları, eklenmiş gizlenmiş JavaScript için tarayın .vscode/ dizinlerini, otomatik çalıştırma yapılandırmalarına sahip beklenmedik tasks.json dosyaları için inceleyin .woff2 ve diğer ikili varlık dosyalarını gömülü JavaScript için gözden geçirin npm auditsocket.dev taraması) Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider, Kuzey Koreli Lazarus Grubu'na (Contagious Interview kümesi) atfedilen bir tedarik zinciri saldırısıdır.
PolinRider, Kuzey Koreli Lazarus Grubu'na (Contagious Interview kümesi) atfedilen bir tedarik zinciri saldırısıdır. Kampanya kapsamında 1.700'den fazla kötü niyetli npm paketi yayınlanmış; saldırı PyPI, Go, Packagist (PHP) ve crates.io (Rust) ekosistemlerine de sıçramıştır.
Saldırı, BeaverTail (JavaScript indirici/çalıcı), DEV POPPER.js (uzaktan erişim truva atı) ve OmniStealer (kripto cüzdanlarını ve kimlik bilgilerini hedef alan bilgi çalıcı) gibi kötü amaçlı yazılımları dağıtmakta ve...