文章总结: 朝鲜黑客组织在PolinRider行动中发布108个恶意软件包和扩展程序,分布在npm、Packagist、Go和GoogleChrome平台。攻击者通过传染性面试手法入侵GitHub仓库,植入混淆的JavaScript载荷,利用VSCode任务文件触发执行,并采用Git历史重写技术隐藏痕迹。最新攻击链涉及区块链基础设施获取第二阶段载荷。建议用户轮换密钥、审计仓库并移除受影响版本。 综合评分: 87 文章分类: 恶意软件,威胁情报,安全意识,安全工具,漏洞预警
朝鲜黑客在PolinRider行动中发布108个恶意软件包及扩展程序
FreeBuf
2026年7月6日 15:26 上海
在小说阅读器读本章
去阅读
与”传染性面试”(Contagious Interview)行动相关的朝鲜黑客组织近期发布了108个独特的软件包和浏览器扩展,这些恶意组件分布在npm、Packagist、Go和Google Chrome平台,该持续活动被命名为PolinRider。
Socket安全研究员Karlo Zanki在本周发布的分析报告中指出:”该行动仍在活跃,随着攻击者入侵维护者账户、篡改合法代码库并发布受感染的软件包版本,新的恶意软件包很可能会持续出现。”这些162个恶意发布产物对应108个独特软件包和扩展程序,包括19个npm库、10个Composer包、61个Go模块和1个Google Chrome扩展。
Part01
攻击手法与目标
“传染性面试”是朝鲜背景黑客组织惯用的攻击手法,通过伪造招聘流程针对软件开发人员和加密货币行业从业者。攻击者利用具有说服力的面试和评估环节,诱骗目标执行恶意代码。该活动至少自2023年起持续活跃,攻击者通常在LinkedIn、GitHub或自由职业网站上伪装成招聘人员或合作者,建立精心设计的空壳公司和AI生成的员工档案以获取信任,最终投递恶意软件。
Part02
技术细节分析
OpenSourceMalware团队于2026年3月首次发现PolinRider活动,其特点是攻击者在数百个不同所有者公开GitHub仓库中植入经过混淆的JavaScript恶意载荷,用于传播BeaverTail的新变种——这是一种已知与”传染性面试”相关的JavaScript恶意软件。截至2026年4月11日,该活动已入侵1,951个公开GitHub仓库,涉及1,047个不同所有者,并与另一个名为TaskJacker的攻击集群合并,后者会在GitHub用户现有仓库中植入恶意VS Code任务文件。这些VS Code任务包含”runOn: ‘folderOpen'”选项,当用户在VS Code或Cursor等IDE中将文件夹作为工作区打开时,就会触发任意代码执行。
OpenSourceMalware指出:”攻击者并未使用窃取的GitHub凭证,而是通过恶意VS Code扩展或npm包入侵受害者。”据信攻击者可能通过过期域名接管或其他账户恢复途径接管维护者账户来实施攻击。
Part03
恶意行为特征
恶意软件执行后会扫描受感染计算机中的特定文件(如”postcss.config.mjs”、”tailwind.config.js”等),若发现目标文件则追加恶意JavaScript代码。同时使用Windows批处理脚本秘密修改最后一次提交,使其看似由原作者完成。安全专家怀疑类似工具也被用于重写Linux和macOS系统的Git历史记录。
Socket公司分析称:”该行动的核心攻击手法始终一致:攻击者在合法仓库中植入混淆的JavaScript加载器,通过空白填充或伪造的.woff2字体文件隐藏代码,并通过VS Code任务文件等开发工具触发执行。”
Part04
最新攻击链演变
在最新攻击波次中,载荷作为JavaScript恶意软件加载器,会连接至包括TRON、Aptos和BNB智能链服务在内的区块链基础设施,获取加密的第二阶段载荷,最终释放DEV#POPPER RAT和OmniStealer恶意软件。eSentire公司在2026年3月详细披露了这一攻击链。
Zanki警告称:”攻击者使用包括强制推送和反日期提交在内的Git历史重写技术,使恶意修改看起来更早且不易察觉。这使得GitHub着陆页和可见提交历史不再可靠,防御者应审查仓库活动日志、软件包发布元数据、VS Code任务配置以及对配置文件的可疑修改。”
Part05
关联攻击活动
近期JFrog发现了一批与”传染性面试”相关的npm软件包,其中部分伪装成Rollup polyfill工具以实现远程访问和数据窃取。本周早些时候,另一组npm和Go软件包被确认嵌入了VS Code自动运行任务,用于执行伪装成虚假字体文件的JavaScript载荷,这表明Fake Font、TaskJacker和PolinRider之间存在战术重叠。
安全建议:已安装这些软件包的用户应将环境视为已遭入侵,在干净机器上轮换暴露的密钥,移除受影响版本并从已知良好的lockfile重建,同时审计开发工作站和仓库中修改过”.vscode/tasks.json”、”config.js”等文件的隐藏执行路径或可疑提交。
参考来源:
North Korean Hackers Publish 108 Malicious Packages and Extensions in PolinRider Campaign
https://thehackernews.com/2026/07/north-korean-hackers-publish-108.html
推荐阅读
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
电报讨论
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《朝鲜黑客在PolinRider行动中发布108个恶意软件包及扩展程序》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论