PolinRider là chiến dịch tấn công chuỗi cung ứng do Triều Tiên (nhóm Lazarus) thực hiện, đã xâm nhập 1.951 kho lưu trữ GitHub của 1.047 chủ sở hữu, tăng gấp 3 lần chỉ trong 5 tuần. Hơn 1.700 gói npm độc hại đã được phát hành, chiến dịch mở rộng sang PyPI, Go, Packagist (PHP) và crates.io (Rust), thậm chí xâm nhập cả...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
Chiến dịch PolinRider là một trong những cuộc tấn công chuỗi cung ứng mã nguồn mở mạnh mẽ và tinh vi nhất từng được cho là do Triều Tiên thực hiện. Được nhóm OpenSourceMalware phát hiện lần đầu vào tháng 3 năm 2026, chiến dịch này đã nhanh chóng mở rộng trên nhiều hệ sinh thái gói và công cụ phát triển, xâm nhập gần 2.000 kho lưu trữ GitHub và sử dụng công nghệ blockchain cho kênh chỉ huy và điều khiển .
PolinRider được cho là do Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) thực hiện, liên quan đến nhóm Lazarus. Đây là một chiến dịch con trong cụm Contagious Interview lớn hơn (còn được gọi là Famous Chollima) . Chiến dịch này đã hợp nhất về mặt tác chiến với chiến dịch TasksJacker liên quan, vốn tập trung vào việc lạm dụng tính năng tự động hóa tác vụ của VS Code
.
Quy mô của PolinRider là rất lớn và đang phát triển nhanh chóng:
Chiến dịch đã lan rộng ra ngoài npm, hệ thống bị tấn công đầu tiên:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt và debug-glit .vscode/tasks.json độc hại và các đường dẫn CI/CD bị can thiệp Chiến dịch cũng đã xâm nhập thư viện Axios npm phổ biến (phiên bản 1.14.1 và 0.30.0) vào tháng 4 năm 2026 thông qua một phụ thuộc độc hại có tên plain-crypto-js, ảnh hưởng đến khoảng 100 triệu lượt tải xuống hàng tuần .
Chuỗi lây nhiễm PolinRider là một quy trình bốn giai đoạn được dàn dựng cẩn thận, được thiết kế nhằm tối đa hóa khả năng ẩn mình và giảm thiểu sự tương tác của nạn nhân.
Kẻ tấn công thêm mã JavaScript bị làm rối nặng vào cuối các tệp cấu hình hợp pháp của nhà phát triển như postcss.config.mjs, tailwind.config.js, eslint.config.mjs và next.config.mjs . Các dòng mã độc hại được đệm khoảng trắng quá mức, đẩy mã vượt quá chiều rộng xem mặc định của IDE, khiến nó vô hình trong quá trình xem xét mã thông thường
.
PolinRider sử dụng ba kỹ thuật che giấu chính:
.woff2 giả mạo: Mã JavaScript bị làm rối được ngụy trang thành tệp phông chữ web, một định dạng nhị phân mà hầu hết các nhà phát triển không bao giờ kiểm tra Các tệp .vscode/tasks.json độc hại được tiêm vào kho lưu trữ. Khi nhà phát triển clone kho đã bị xâm phạm và mở nó trong VS Code, tác vụ sẽ thực thi tự động mà không cần tương tác thêm. Điều này hoàn toàn loại bỏ bước kỹ thuật xã hội vốn được sử dụng trong các chiến dịch Contagious Interview trước đây .
Trình tải JavaScript sau khi giải mã sẽ truy xuất tải trọng giai đoạn tiếp theo bằng cách đọc dữ liệu mã hóa được nhúng trong các giao dịch blockchain tiền mã hóa. Chiến dịch sử dụng các mạng blockchain TRON, Aptos và BSC (BNB Smart Chain) làm kênh C2 dạng "dead-drop" . Kỹ thuật "etherhiding" này khiến việc gỡ bỏ trở nên cực kỳ khó khăn vì dữ liệu C2 tồn tại bất biến trên blockchain công cộng.
PolinRider phân phối một loạt các tải trọng độc hại, mỗi loại có khả năng cụ thể:
Họ mã độc chính được phân phối là một biến thể mới của BeaverTail, một mã độc JavaScript nổi tiếng liên quan đến các hoạt động của DPRK. Nó hoạt động như một bộ cài/dropper giai đoạn đầu và trình thu thập thông tin xác thực .
Chuỗi lây nhiễm cung cấp một RAT dựa trên JavaScript được theo dõi là DEV#POPPER.js. Nó cung cấp khả năng thực thi mã từ xa (RCE) hoàn toàn, truy cập liên tục và khả năng thực thi các lệnh tùy ý trên máy trạm của nhà phát triển bị xâm phạm. Đơn vị Ứng phó Mối đe dọa (TRU) của eSentire đã phát hiện ra nó trong thực tế nhắm mục tiêu vào lĩnh vực Năng lượng, Tiện ích và Chất thải vào tháng 2 năm 2026 .
Được triển khai cùng với DEV#POPPER, OmniStealer mạnh mẽ nhắm mục tiêu vào thông tin xác thực ví tiền mã hóa, khóa riêng, thông tin xác thực được lưu trữ trong trình duyệt, mã thông báo phiên, khóa API và bí mật CI/CD .
PolinRider là một sự phát triển trực tiếp về mặt tác chiến của chiến dịch Contagious Interview. Trong khi Contagious Interview trước đây dựa vào các mồi nhử phỏng vấn xin việc làm giả và kỹ thuật xã hội để lừa các nhà phát triển cài đặt các dự án bị cài mã độc, PolinRider đánh dấu sự chuyển dịch sang thỏa hiệp chuỗi cung ứng hoàn toàn tự động, không cần kỹ thuật xã hội .
Sự khác biệt và chồng chéo chính bao gồm:
Dựa trên hướng dẫn từ OpenSourceMalware, Socket Security, Sonatype và các nhà nghiên cứu khác, các tổ chức nên thực hiện các bước sau:
package.json, go.mod và các tệp khóa (lockfile) postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs và các tệp tương tự để tìm mã JavaScript bị làm rối được thêm vào .vscode/ để tìm tasks.json không mong muốn với cấu hình tự động chạy .woff2 và các tài sản nhị phân khác để tìm mã JavaScript nhúng npm auditsocket.dev) trước khi cài đặt Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider là chiến dịch tấn công chuỗi cung ứng do Triều Tiên (nhóm Lazarus) thực hiện, đã xâm nhập 1.951 kho lưu trữ GitHub của 1.047 chủ sở hữu, tăng gấp 3 lần chỉ trong 5 tuần.
PolinRider là chiến dịch tấn công chuỗi cung ứng do Triều Tiên (nhóm Lazarus) thực hiện, đã xâm nhập 1.951 kho lưu trữ GitHub của 1.047 chủ sở hữu, tăng gấp 3 lần chỉ trong 5 tuần. Hơn 1.700 gói npm độc hại đã được phát hành, chiến dịch mở rộng sang PyPI, Go, Packagist (PHP) và crates.io (Rust), thậm chí xâm nhập cả thư viện Axios phổ biến.
Chiến dịch sử dụng kỹ thuật 4 giai đoạn: ẩn mã JavaScript trong file cấu hình, ngụy trang thành file font .woff2, tự động chạy qua VS Code và nhận lệnh từ dữ liệu giao dịch blockchain TRON, Aptos, BSC.