PolinRider: Наймасштабніша атака Північної Кореї на ланцюг постачання відкритого коду
PolinRider — це північнокорейська кампанія (кластер Lazarus/Contagious Interview), яка станом на кінець квітня 2026 року скомпрометувала 1951 репозиторій GitHub, що належать 1047 унікальним власникам — кількість ураже... Опубліковано понад 1700 шкідливих пакетів npm у межах операції Contagious Interview, кампанія по...
Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,An artist's conceptualization of the PolinRider supply chain attack chain, showing the compromise of open-source ecosystems.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
openai.com
Кампанія PolinRider є однією з найагресивніших і технічно найскладніших атак на ланцюг постачання відкритого коду, які коли-небудь приписували Північній Кореї. Вперше виявлена OpenSourceMalware у березні 2026 року, вона стрімко поширилася на кілька пакетних екосистем та інструментів розробників, скомпрометувавши майже 2000 репозиторіїв GitHub і використовуючи технологію блокчейну для стійкої командно-контрольної (C2) інфраструктури .
Атрибуція та ідентичність кампанії
PolinRider атрибутують Корейській Народно-Демократичній Республіці (КНДР) і пов'язують із групою Lazarus. Вона діє як підкампанія в межах ширшого кластера Contagious Interview (також відомого як Famous Chollima) . Кампанія операційно злилася з пов'язаною кампанією TasksJacker, яка зосереджується на зловживанні автоматизацією завдань VS Code .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "PolinRider: Наймасштабніша атака Північної Кореї на ланцюг постачання відкритого коду"?
PolinRider — це північнокорейська кампанія (кластер Lazarus/Contagious Interview), яка станом на кінець квітня 2026 року скомпрометувала 1951 репозиторій GitHub, що належать 1047 унікальним власникам — кількість ураже...
What are the key points to validate first?
PolinRider — це північнокорейська кампанія (кластер Lazarus/Contagious Interview), яка станом на кінець квітня 2026 року скомпрометувала 1951 репозиторій GitHub, що належать 1047 унікальним власникам — кількість ураже... Опубліковано понад 1700 шкідливих пакетів npm у межах операції Contagious Interview, кампанія поширилася на PyPI, Go, Packagist (PHP) та crates.io (Rust), а також скомпрометувала популярну бібліотеку Axios
What should I do next in practice?
Кампанія використовує BeaverTail (JavaScript дропер/стилер), DEV POPPER.js (віддалений троян) та OmniStealer (стилер, націлений на криптогаманці та облікові дані) і представляє небезпечну еволюцію — перехід від соціал...
1951 скомпрометований репозиторій GitHub, що належать 1047 унікальним власникам (станом на кінець квітня 2026 року)
Кількість уражених репозиторіїв приблизно потроїлася за п'ять тижнів після першого оприлюднення
Опубліковано понад 1700 шкідливих пакетів npm у межах ширшої операції Contagious Interview
Цільові екосистеми
Кампанія поширилася далеко за межі npm, свого початкового вектора:
npm (Node.js): Основна ціль, сотні шкідливих пакетів, включаючи dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt та debug-glit
PyPI (Python): Пакети Python, поширювані в межах операції Contagious Interview
Go (Go Module Mirror): Шкідливі пакети Go, виявлені Socket Security
Packagist (PHP/Composer): Розширення на цю екосистему до липня 2026 року
Rust (crates.io): Ціль у ширшій кампанії
GitHub Actions та розширення VS Code: Скомпрометовані через шкідливі файли .vscode/tasks.json та впроваджені CI/CD конвеєри
Кампанія також скомпрометувала широко використовувану бібліотеку Axios (версії 1.14.1 та 0.30.0) у квітні 2026 року через шкідливу залежність plain-crypto-js, що вплинуло приблизно на 100 мільйонів щотижневих завантажень .
Багатоетапна техніка зараження
Ланцюжок зараження PolinRider — це ретельно спланований чотириетапний процес, розроблений для максимальної непомітності та мінімізації необхідності взаємодії з жертвою.
Етап 1: Обфусковані JavaScript-завантажувачі в конфігураційних файлах
Атакуючі додають сильно обфускований JavaScript у кінець легітимних конфігураційних файлів розробників, таких як postcss.config.mjs, tailwind.config.js, eslint.config.mjs та next.config.mjs. Шкідливі рядки доповнюються надлишковими пробілами, що виштовхує код за межі стандартної ширини перегляду IDE, роблячи його невидимим під час звичайного перегляду коду .
Етап 2: Складні методи приховування
PolinRider використовує три основні методи приховування:
Фальшиві файли шрифтів .woff2: Обфускований JavaScript маскується під веб-шрифт — двійковий формат, який більшість розробників ніколи не перевіряють
Відступи пробілами: Виконувані рядки зміщуються далеко вправо за межі видимого вікна
Фальсифікація історії Git (ForceMemo): Модуль, який переписує історію Git, датуючи шкідливі коміти місяцями тому, щоб вони виглядали як рутинне обслуговування від легітимних супровідників
Етап 3: Виконання завдань VS Code (TasksJacker)
Шкідливі файли .vscode/tasks.json впроваджуються в репозиторії. Коли розробник клонує скомпрометований репозиторій і відкриває його у VS Code, завдання виконується автоматично без додаткової взаємодії з користувачем. Це повністю оминає етап соціальної інженерії, який використовувався в попередніх кампаніях Contagious Interview .
Етап 4: Отримання корисного навантаження через блокчейн (C2)
Деобфускований JavaScript-завантажувач отримує корисне навантаження наступного етапу, зчитуючи зашифровані дані, вбудовані в транзакції криптовалютних блокчейнів. Кампанія використовує блокчейни TRON, Aptos та BSC (BNB Smart Chain) як мертві канали C2 . Ця техніка, відома як "etherhiding", робить видалення C2 надзвичайно складним, оскільки дані існують незмінно в публічних блокчейнах.
Доставлені шкідливі навантаження
PolinRider доставляє набір шкідливих програм зі специфічними можливостями:
BeaverTail (JavaScript-дропер/стилер)
Основне сімейство шкідливого ПЗ — нова варіація BeaverTail, відомого JavaScript-малвару, пов'язаного з операціями КНДР. Він діє як дропер першого етапу та збирач облікових даних .
DEV#POPPER.js (віддалений троян)
Ланцюжок зараження доставляє JavaScript-троян RAT, відстежуваний як DEV#POPPER.js. Він забезпечує повне віддалене виконання коду (RCE), постійний доступ і можливість виконувати довільні команди на скомпрометованому робочому місці розробника. eSentire's Threat Response Unit (TRU) виявила його в дикій природі, націленим на сектор енергетики, комунальних послуг та відходів у лютому 2026 року .
OmniStealer (стилер інформації)
Розгорнутий разом із DEV#POPPER, OmniStealer агресивно націлюється на облікові дані криптовалютних гаманців, приватні ключі, збережені в браузері облікові дані, токени сесій, ключі API та секрети CI/CD .
Інші навантаження
PylangGhost: Бекдор на основі Python, що вперше позначило поширення цього шкідливого ПЗ через пакети npm
Socket.io бекдор: Встановлює постійний зворотний зв'язок через оболонку з інфраструктурою атакуючого
Зв'язок із Contagious Interview
PolinRider є прямою операційною еволюцією кампанії Contagious Interview. Якщо раніше Contagious Interview покладалася на фальшиві запрошення на співбесіду та соціальну інженерію, щоб обманом змусити розробників встановлювати троянізовані проекти, то PolinRider представляє зсув у бік повністю автоматизованої компрометації ланцюга постачання, вільної від соціальної інженерії.
Ключові відмінності та перетини:
Обидві кампанії використовують однакове сімейство шкідливого ПЗ BeaverTail та перетинаються за C2-інфраструктурою
PolinRider/TasksJacker повністю усуває соціальний рівень — компрометація відбувається автоматично через шкідливі пакети та автоматичні завдання VS Code
Обидві використовують отримання корисного навантаження через блокчейн
Рекомендована захисна реакція
На основі рекомендацій OpenSourceMalware, Socket Security, Sonatype та інших дослідників, організації повинні вжити таких заходів:
Невідкладні дії
Ставитися до будь-якого скомпрометованого середовища як до повністю захопленого — припускати крадіжку облікових даних і секретів, поки не доведено інше
Видалити уражені пакети з package.json, go.mod і lock-файлів
Перевірити всю вихідну мережеву активність з робочих станцій розробників, особливо з'єднання з вузлами блокчейну та невідомими IP-адресами
Призупинити роботу над будь-якою кодовою базою, яка використовувала уражений пакет — повернутися до комітів з періоду до відомого вікна компрометації
Зберегти криміналістичні докази (логи, образи дисків) перед виправленням
Очищення коду та репозиторіїв
Сканувати всі файли postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs та подібні на наявність доданого обфускованого JavaScript
Перевірити каталоги .vscode/ на наявність неочікуваних tasks.json з конфігурацією автозапуску
Перевірити файли .woff2 та інші двійкові активи на вбудований JavaScript
Перевірити історію Git на наявність комітів заднім числом від невідомих авторів — не довіряти видимій історії комітів
Довгострокове посилення захисту
Впровадити фільтрацію вихідного трафіку (egress filtering) у мережах розробників, щоб обмежити вихідні з'єднання
Використовувати перевірку цілісності пакетів (lock-файли, перевірка контрольних сум,
npm audit
, сканування socket.dev) перед встановленням
Вимкнути автозапуск завдань VS Code у середовищах розробки, де це не є критично необхідним
Розгорнути правила статичного аналізу — Datadog пропонує спеціалізоване правило виявлення PolinRider для сканування безпеки коду JavaScript/Node.js
Відстежувати ознаки блокчейн-базованого C2 — незвичайні DNS-запити до API блокчейну або нестандартні вихідні з'єднання на машинах розробників
Перебудувати середовище з відомих-чистих lock-файлів і повторно згенерувати всі секрети, ключі API та криптографічні ключі, які могли бути скомпрометовані на будь-якій ураженій робочій станції