HackerNews

HackerNews
朝鲜黑客在 PolinRider 活动中发布 108 个恶意包和扩展

朝鲜黑客在 PolinRider 活动中发布 108 个恶意包和扩展

给文章评分:

与 Contagious Interview 活动相关的朝鲜威胁行为者被观察到发布了 108 个独特的包和 Web 浏览器扩展,涵盖 npm、Packagist、Go 和 Google Chrome,这是名为 PolinRider 的持续活动的一部分。
Socket 安全研究员 Karlo Zanki 在本周发布的分析报告中表示:"该活动仍然活跃,随着威胁行为者入侵维护者账户、修改合法仓库以及在保留或获得注册表访问权限的地方发布受感染的包版本,新的恶意包很可能会继续出现。"
这 162 个恶意发布工件跨越多个发布版本,对应 108 个独特的包和扩展,包括 19 个 npm 库、10 个 Composer 包、61 个 Go 模块和 1 个 Google Chrome 扩展。
Contagious Interview 是一个针对朝鲜相关活动的代号,该活动利用招聘工作来针对软件开发人员和加密货币领域的个人,通过有说服力的求职面试和评估来诱骗他们执行恶意代码。
该活动已知至少自 2023 年以来一直活跃。攻击者在 LinkedIn、GitHub 或自由职业网站等平台上伪装成招聘人员或协作者,经常设立精心设计的空壳公司和 AI 生成的员工档案来建立信任,最终投递恶意软件。
PolinRider 于 2026 年 3 月被 OpenSourceMalware 团队首次标记,描述为威胁行为者在数百个属于多个独特所有者的公共 GitHub 仓库中植入恶意混淆的 JavaScript 载荷,以投递 BeaverTail 的一个新变种,BeaverTail 是一种与 Contagious Interview 相关的已知 JavaScript 恶意软件。
截至 2026 年 4 月 11 日,该活动已入侵了 1,951 个与 1,047 个独特所有者关联的公共 GitHub 仓库,同时还与另一个名为 TaskJacker 的集群合并,该集群将恶意的 VS Code 任务文件放入 GitHub 用户现有的仓库中。这些 VS Code 任务包含 "runOn: 'folderOpen'" 选项,当文件夹在 VS Code 或 Cursor 等 IDE 中作为工作区文件夹打开时,会触发任意代码的执行。
OpenSourceMalware 表示:"威胁行为者并未使用窃取的 GitHub 凭证。相反,受害者是通过恶意的 VS Code 扩展或 npm 包被入侵的。"据信,攻击者正在接管维护者账户,可能通过过期域名接管或其他账户恢复途径来实现这一计划。
一旦执行,恶意软件会搜索受感染计算机中的特定文件,如 "postcss.config.mjs"、"tailwind.config.js"、"eslint.config.mjs"、"next.config.mjs"、"babel.config.js" 和 "app.js",如果找到,则向其追加恶意 JavaScript 代码。
它还利用 Windows 批处理脚本隐蔽地修改最后一次提交,同时使其看起来像是原始作者所为。据推测,类似工具也被用于重写在 Linux 和 macOS 等其他操作系统上的 Git 历史记录。
Socket 表示:"该活动的核心手法保持一致:威胁行为者在合法仓库中植入混淆的 JavaScript 加载器,通过空白填充或伪造的 .woff2 字体文件隐藏代码,并通过 VS Code 任务文件等开发者工具触发执行。"
在最新一波攻击中,载荷作为一个 JavaScript 恶意软件加载器运行,它联系区块链基础设施(包括 TRON、Aptos 和 BNB Smart Chain 服务)以获取加密的第二阶段载荷,该载荷解包后变为 DEV#POPPER RAT 和 OmniStealer。eSentire 于 2026 年 3 月详细描述了这一攻击链。
Zanki 表示:"威胁行为者使用 Git 历史重写,包括强制推送和反日期提交,使恶意更改看起来更旧且不那么可疑。这使得 GitHub 登陆页面和可见的提交历史成为不可靠的入侵指标;防御者应审查仓库活动日志、包发布元数据、VS Code 任务配置以及配置文件的可疑更改。"
与此同时,JFrog 发现了一组与 Contagious Interview 相关的 npm 包,其中一些伪装成 Rollup polyfill 工具以实现远程访问和数据窃取。本周早些时候,另一组 npm 包和 Go 包被发现集成了 VS Code 自动运行任务,以执行伪装成假字体文件的 JavaScript 载荷,这表明 Fake Font、TaskJacker 和 PolinRider 之间存在战术重叠。
安装了这些包的用户应将环境视为已被入侵,从干净的机器轮换已暴露的密钥,移除受影响版本并从已知良好的 lockfile 重建,同时审计开发者工作站和仓库中是否存在隐藏的执行路径或修改了 ".vscode/tasks.json"、"config.js"、"vite.config.js" 和 "eslint.config.js" 文件的可疑提交。


消息来源:thehackernews.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介