截至2026年4月底,PolinRider攻擊已入侵1,951個GitHub儲存庫(1,047名唯一擁有者),規模在五週內成長約三倍,並與TasksJacker活動合併操作 [7][8][22]。 攻擊從npm套件生態系擴散至PyPI、Go Module Mirror、Packagist (PHP)、crates.io (Rust),甚至入侵了每週下載量逾1億次的Axios函式庫,總計發布超過1,700個惡意npm套件 [5][6][2][12]。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
PolinRider 攻擊行動是截至目前為止,北韓(DPRK)針對開源軟體供應鏈發動的最具侵略性且技術最精密的大規模攻擊之一。該行動由安全研究團隊 OpenSourceMalware 於 2026 年 3 月首次揭露,並迅速在多個套件生態系與開發者工具鏈中擴散,已成功入侵近 2,000 個 GitHub 儲存庫,並利用區塊鏈技術建立韌性極高的指揮與控制(C2)基礎設施 。
PolinRider 歸屬於北韓(DPRK),並與 Lazarus 集團密切相關,是該集團旗下規模更大的 Contagious Interview 攻擊群組(亦被追蹤為 Famous Chollima)中的一個子行動 。此行動在戰術上已與另一個名為 TasksJacker 的行動合併,後者專門利用 VS Code 的任務自動化功能進行入侵
。
PolinRider 的攻擊規模龐大且持續快速增長:
此攻擊行動已遠遠超出其最初的攻擊載體——npm,觸及範圍遍及各主要套件管理器:
dev-log-core、logger-base、logkitx、pino-debugger、debug-fmt 與 debug-glit .vscode/tasks.json 檔案與注入的 CI/CD 管道遭到入侵 此外,在 2026 年 4 月,該行動甚至入侵了廣泛使用的 Axios npm 函式庫(1.14.1 與 0.30.0 版),透過一個名為 plain-crypto-js 的惡意依賴套件進行攻擊,影響了每週約 1 億次的下載量 。
PolinRider 的感染鏈是一個精心策劃的四階段過程,旨在最大化隱蔽性並最小化受害者互動的需求。
攻擊者將高度混淆的 JavaScript 附加在合法的開發者設定檔末尾,這些檔案包括 postcss.config.mjs、tailwind.config.js、eslint.config.mjs 以及 next.config.mjs 。這些惡意程式碼行被填充了大量的空白字元,將實際執行代碼推到預設 IDE 可視範圍之外,從而在常規程式碼審查中「隱形」
。
PolinRider 主要採用三種隱藏技術:
.woff2 字型檔案: 將混淆後的 JavaScript 偽裝成網頁字型檔,這是一種開發者極少會檢查的二進位格式 惡意的 .vscode/tasks.json 檔案被注入到儲存庫中。當開發者克隆一個受感染的儲存庫並在 VS Code 中打開時,該任務會自動執行,無需使用者進行任何進一步互動。此步驟完全跳過了早期 Contagious Interview 攻擊行動中使用的社交工程環節 。
解混淆後的 JavaScript 載入器透過讀取嵌入在加密貨幣區塊鏈交易中的加密資料來檢索下一階段的酬載。該行動使用 TRON、Aptos 和 BSC(BNB Smart Chain) 區塊鏈網路作為「死信投遞」(dead-drop)C2 通道 。這種「區塊鏈隱藏」(etherhiding)技術使得打擊行動極其困難,因為 C2 資料存在於不可篡改的公有區塊鏈上。
PolinRider 會傳遞一系列惡意酬載,每個都具有特定功能:
主要傳遞的惡意軟體家族是 BeaverTail 的一個新變種,這是一種與北韓行動相關的知名 JavaScript 惡意軟體。它扮演第一階段下載器和憑證收集器的角色 。
感染鏈會傳遞一個基於 JavaScript 的遠端存取木馬,被追蹤為 DEV#POPPER.js。它提供完整的遠端程式碼執行(RCE)能力、持續性存取,以及在受感染的開發者工作站上執行任意指令的能力。eSentire 的威脅應變小組(TRU)已於 2026 年 2 月在能源、公用事業與廢棄物處理產業中發現了在野外的攻擊活動 。
與 DEV#POPPER 一同部署,OmniStealer 積極鎖定加密貨幣錢包憑證、私鑰、瀏覽器儲存的憑證、Session Token、API 金鑰以及 CI/CD 機密 。
PolinRider 是 Contagious Interview 攻擊行動的直接戰術演化。Contagious Interview 過去主要依賴虛假的工作面試誘餌和社交工程,誘騙開發者安裝被植入木馬的專案。而 PolinRider 標誌著向完全自動化、無需社交工程的供應鏈入侵模式的轉變 。
主要的差異與重疊之處包括:
根據 OpenSourceMalware、Socket Security、Sonatype 及其他研究人員的建議,組織應採取以下步驟:
package.json、go.mod 和 lockfiles 中移除受影響的套件 postcss.config.mjs、tailwind.config.js、eslint.config.mjs、next.config.mjs 等類似檔案,檢查是否有被附加的混淆 JavaScript 程式碼 .vscode/ 目錄,確認是否存在非預期的、帶有自動執行設定的 tasks.json 檔案 .woff2 及其他二進位資產檔案,確認其中是否嵌入了 JavaScript 程式碼 npm auditsocket.dev 掃描) Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
截至2026年4月底,PolinRider攻擊已入侵1,951個GitHub儲存庫(1,047名唯一擁有者),規模在五週內成長約三倍,並與TasksJacker活動合併操作 [7][8][22]。
截至2026年4月底,PolinRider攻擊已入侵1,951個GitHub儲存庫(1,047名唯一擁有者),規模在五週內成長約三倍,並與TasksJacker活動合併操作 [7][8][22]。 攻擊從npm套件生態系擴散至PyPI、Go Module Mirror、Packagist (PHP)、crates.io (Rust),甚至入侵了每週下載量逾1億次的Axios函式庫,總計發布超過1,700個惡意npm套件 [5][6][2][12]。
感染鏈採用四階段隱匿技術:在設定檔中注入混淆後的JavaScript、以偽裝字型檔(.woff2)隱藏酬載、利用VS Code自動執行任務觸發,並透過TRON、Aptos、BSC區塊鏈交易作為指揮與控制(C2)通道,使追蹤極為困難 [2][4][7][9]。