PolinRider是朝鲜(Lazarus / Contagious Interview 集群)发起的供应链攻击行动,截至2026年4月底,已入侵 1951个GitHub仓库 ,涉及 1047个独立所有者 ——规模在五周内几乎翻了三倍 [7][22]。 攻击从npm起步,迅速扩散至 PyPI、Go、Packagist(PHP)以及crates.io(Rust) 等主流包生态系统;2026年3 4月期间,甚至成功感染了周下载量约1亿次的顶级JS库Axios(1.14.1和0.30.0版本)[6][13]。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
PolinRider被安全厂商OpenSourceMalware于2026年3月首次发现,归因于朝鲜(DPRK)的Lazarus小组,并隶属于更广泛的Contagious Interview(又称Famous Chollima)攻击集群 。该行动已与同源的TasksJacker活动(滥用VS Code自动任务)在技术上合并
。
截至2026年4月底,这场攻击的规模已达历史罕见:
dev-log-core、logger-base、logkitx、pino-debugger、debug-fmt、debug-glit 等 .vscode/tasks.json文件及CI/CD管道注入 此外,攻击者还成功攻陷了知名JS库Axios的npm版本(1.14.1和0.30.0),插入名为plain-crypto-js的恶意依赖,该库的周下载量约为1亿次,影响范围极为广泛 。
攻击者在合法配置文件(如 postcss.config.mjs、tailwind.config.js、eslint.config.mjs、next.config.mjs)的末尾追加大量高度混淆的JavaScript代码 。这些恶意行被大量空白字符填充,将代码推出默认IDE可视区域,因此开发者在浏览时很难发现异常
。
.woff2 字体文件: 将混淆后的JavaScript伪装成网页字体文件,绝大多数开发者从不检查此类二进制资源 攻击者在仓库中注入恶意的 .vscode/tasks.json 文件。当开发者克隆被篡改的仓库并在 VS Code 中打开时,该任务会在无任何用户交互的情况下自动执行。这完全绕过了早期Contagious Interview行动中依赖的社会工程诱导环节 。
反混淆后的JS加载器通过读取嵌入在加密货币区块链交易中的加密数据来获取下一阶段载荷。该行动使用**TRON、Aptos和BNB智能链(BSC)**这些区块链网络作为死信存储型C2通道 。这种“etherhiding”技术使封锁极其困难,因为C2数据存在于不可篡改的公有区块链上。
这是PolinRider主要投递的恶意软件家族,属于已知且被认定为与朝鲜行动关联的JS恶意软件。它充当第一阶段的下载器及凭据盗取工具 。
该行动还会投递一款被称为DEV#POPPER.js的JavaScript远程访问木马。它能提供完整的远程代码执行(RCE)、持久化访问,并在目标工作站上运行任意命令。eSentire的威胁响应团队(TRU)已于2026年2月在能源、公用事业和废物处理行业中发现真实攻击案例 。
与DEV#POPPER配合部署的OmniStealer,主要针对加密货币钱包凭据、私钥、浏览器存储的凭据、会话令牌、API密钥以及CI/CD机密信息 。
PolinRider是Contagious Interview行动的直接操作演化版本。原先的Contagious Interview依赖伪造的“面试邀约”、社会工程等手段诱骗开发者安装带木马的项目。而PolinRider代表了向完全自动化、无需社交工程的供应链攻击的重大转变 。
关键异同点:
根据OpenSourceMalware、Socket Security、Sonatype等厂商的指南,企业和个人开发者应立即采取以下措施:
package.json、go.mod 和锁定文件中删除受影响包 postcss.config.mjs、tailwind.config.js、eslint.config.mjs、next.config.mjs 等文件,检查是否被追加了混淆JS .vscode/ 目录是否存在异常的 tasks.json 自动运行配置 .woff2 及其他二进制资源文件 中是否嵌入了JavaScript代码 Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider是朝鲜(Lazarus / Contagious Interview 集群)发起的供应链攻击行动,截至2026年4月底,已入侵 1951个GitHub仓库 ,涉及 1047个独立所有者 ——规模在五周内几乎翻了三倍 [7][22]。
PolinRider是朝鲜(Lazarus / Contagious Interview 集群)发起的供应链攻击行动,截至2026年4月底,已入侵 1951个GitHub仓库 ,涉及 1047个独立所有者 ——规模在五周内几乎翻了三倍 [7][22]。 攻击从npm起步,迅速扩散至 PyPI、Go、Packagist(PHP)以及crates.io(Rust) 等主流包生态系统;2026年3 4月期间,甚至成功感染了周下载量约1亿次的顶级JS库Axios(1.14.1和0.30.0版本)[6][13]。
攻击链分为四个隐蔽阶段:在配置文件尾部追加混淆JS、利用假字体文件/空白填充/Git历史篡改隐藏痕迹、通过VS Code自动任务执行、以及从 TRON、Aptos、BNB智能链 等区块链交易中解密C2指令——使防御方极难彻底清除。