呢次攻擊絕對唔只npm咁簡單:
dev-log-core、logger-base、logkitx、pino-debugger、debug-fmt同debug-glit呢啲.vscode/tasks.json檔案同注入嘅CI/CD管線被入侵PolinRider嘅感染鏈設計得好精密,總共有四個階段,目的係盡量隱藏行蹤,減少需要受害者互動嘅機會。
攻擊者會喺開發者常用嘅設定檔尾部,例如postcss.config.mjs、tailwind.config.js、eslint.config.mjs同next.config.mjs呢啲,加上高度混淆嘅JavaScript。 佢哋用大量空白字元將啲惡意程式碼推到好遠嘅右邊,正常編輯器嘅可視範圍根本睇唔到,所以開發者好難喺平時code review嗰陣發現。
PolinRider主要用咗三種隱藏技術:
攻擊者會喺倉庫入面植入惡意嘅.vscode/tasks.json檔案。當開發者複製咗有問題嘅倉庫,然後喺VS Code打開嘅時候,呢個任務就會自動執行,完全唔需要開發者再有任何操作。呢個方法完全繞過咗之前Contagious Interview行動需要嘅社交工程步驟。
解混淆之後嘅JavaScript載荷會去區塊鏈交易紀錄入面讀取加密咗嘅數據,嚟攞下一階段嘅惡意載荷。呢個行動用咗**TRON、Aptos同BSC(BNB Smart Chain)**呢啲區塊鏈網絡做死信C2頻道。 呢種「以太隱藏」技術令到取締非常困難,因為C2數據係永久留喺公共區塊鏈上面嘅。
PolinRider傳遞嘅惡意載荷有幾種,各有唔同功能:
感染鏈會傳遞一個叫DEV#POPPER.js嘅JavaScript遠端訪問木馬。佢可以完全遙距執行代碼(RCE),建立持續存取,仲可以喺受感染嘅開發者電腦上執行任意指令。eSentire嘅威脅應變部門(TRU)喺2026年2月已經喺能源、公用事業同廢物處理行業嘅客戶電腦上發現佢嘅蹤跡。
PolinRider係Contagious Interview行動嘅直接演化版。Contagious Interview之前主要靠假招聘面試嚟呃開發者安裝有問題嘅程式,但PolinRider就代表咗一個轉變,係完全自動化、唔使社交工程嘅供應鏈攻擊。
主要分別同共通點:
根據OpenSourceMalware、Socket Security、Sonatype等研究機構嘅建議,機構應該做以下措施: