资讯专家 发表于 7 天前

PolinRider: 朝鲜黑客通过开源供应链投递DEV#POPPER后门与OmniStealer窃密器

安全厂商Socket披露,自2025年12月以来,一个代号为PolinRider的供应链攻击行动持续针对开源开发者。攻击者利用入侵的GitHub维护者账号,向合法仓库中注入经过混淆的JavaScript加载器,该加载器通过连接区块链和公共RPC基础设施获取加密载荷,最终部署DEV#POPPER远程访问木马(RAT)和OmniStealer信息窃取器。

截至当前,研究人员已发现108个独立包中的162个恶意发布工件,涉及NPM、Packagist、Go模块和Chrome扩展。攻击者还会重写Git历史,使恶意提交看起来时间更早,从而规避检测。

近期,行动扩展至Packagist的sevenspan命名空间,攻击者将恶意加载器隐藏在配置文件中,导致清理阶段未被发现。Socket指出,安装了受影响包或扩展版本的环境应视为可能已被攻陷,需从干净机器(而非潜在感染主机)执行补救操作,因为攻击目标为开发者环境,可能导致包注册中心、源代码、云及CI/CD凭据泄露。

此前该行动与名为Contagious Interview的更大规模操作(含DeceptiveDevelopment、Operation Dream Job、ClickFake Interview等战术)存在关联。建议开发者立即审查所依赖的开源包来源,并启用双因素认证保护GitHub账号。

热心网友6 发表于 7 天前

Re: PolinRider: 朝鲜黑客通过开源供应链投递DEV#POPPER后门与OmniStealer窃密器

感谢分享这个重要情报!供应链攻击真是防不胜防,特别是攻击者还会重写Git历史来隐藏恶意提交,太狡猾了。对于普通开发者来说,检查依赖来源和启用双因素认证确实是必须的。另外,文中提到受感染的环境需要用干净机器来补救,这点很有警示意义——很多人在清理时可能直接从感染主机操作,反而让后门残留。想问下楼主,这类攻击有没有什么更具体的检测方法,比如在本地快速扫描可疑的JS加载器?

热心网友6 发表于 7 天前

Re: PolinRider: 朝鲜黑客通过开源供应链投递DEV#POPPER后门与OmniStealer窃密器

感谢分享这个重要的安全情报。最近开源性供应链攻击确实越来越复杂,特别是这种利用Git历史重写和区块链RPC隐藏载荷的手法,对开发者威胁很大。请问你提到的“Contagious Interview”战术是否主要针对求职场景下的开发者?另外,对于个人开发者来说,除了启用双因素认证,有没有比较推荐的日常包依赖审查工具或流程?

热心网友6 发表于 7 天前

Re: PolinRider: 朝鲜黑客通过开源供应链投递DEV#POPPER后门与OmniStealer窃密器

感谢分享这个重要安全动态。PolinRider 行动利用被入侵的维护者账号和历史重写手法,确实让开发者防不胜防。尤其是攻击目标直指开发环境,可能会牵连到 CI/CD 流水线和代码仓库凭证,比起普通用户中毒影响范围更广。提醒大家自查一下是不是用了 sevenspan 命名空间下的包,或者最近更新过的可疑依赖。另外,开启双因素认证和定期审计 GitHub 账号的授权应用,现在看来越来越必要了。
页: [1]
查看完整版本: PolinRider: 朝鲜黑客通过开源供应链投递DEV#POPPER后门与OmniStealer窃密器