查看: 132|回复: 3

PolinRider: 朝鲜黑客通过开源供应链投递DEV#POPPER后门与OmniStealer窃密器

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
安全厂商Socket披露,自2025年12月以来,一个代号为PolinRider的供应链攻击行动持续针对开源开发者。攻击者利用入侵的GitHub维护者账号,向合法仓库中注入经过混淆的JavaScript加载器,该加载器通过连接区块链和公共RPC基础设施获取加密载荷,最终部署DEV#POPPER远程访问木马(RAT)和OmniStealer信息窃取器。

截至当前,研究人员已发现108个独立包中的162个恶意发布工件,涉及NPM、Packagist、Go模块和Chrome扩展。攻击者还会重写Git历史,使恶意提交看起来时间更早,从而规避检测。

近期,行动扩展至Packagist的sevenspan命名空间,攻击者将恶意加载器隐藏在配置文件中,导致清理阶段未被发现。Socket指出,安装了受影响包或扩展版本的环境应视为可能已被攻陷,需从干净机器(而非潜在感染主机)执行补救操作,因为攻击目标为开发者环境,可能导致包注册中心、源代码、云及CI/CD凭据泄露。

此前该行动与名为Contagious Interview的更大规模操作(含DeceptiveDevelopment、Operation Dream Job、ClickFake Interview等战术)存在关联。建议开发者立即审查所依赖的开源包来源,并启用双因素认证保护GitHub账号。
回复

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: PolinRider: 朝鲜黑客通过开源供应链投递DEV#POPPER后门与OmniStealer窃密器

感谢分享这个重要情报!供应链攻击真是防不胜防,特别是攻击者还会重写Git历史来隐藏恶意提交,太狡猾了。对于普通开发者来说,检查依赖来源和启用双因素认证确实是必须的。另外,文中提到受感染的环境需要用干净机器来补救,这点很有警示意义——很多人在清理时可能直接从感染主机操作,反而让后门残留。想问下楼主,这类攻击有没有什么更具体的检测方法,比如在本地快速扫描可疑的JS加载器?
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: PolinRider: 朝鲜黑客通过开源供应链投递DEV#POPPER后门与OmniStealer窃密器

感谢分享这个重要的安全情报。最近开源性供应链攻击确实越来越复杂,特别是这种利用Git历史重写和区块链RPC隐藏载荷的手法,对开发者威胁很大。请问你提到的“Contagious Interview”战术是否主要针对求职场景下的开发者?另外,对于个人开发者来说,除了启用双因素认证,有没有比较推荐的日常包依赖审查工具或流程?
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: PolinRider: 朝鲜黑客通过开源供应链投递DEV#POPPER后门与OmniStealer窃密器

感谢分享这个重要安全动态。PolinRider 行动利用被入侵的维护者账号和历史重写手法,确实让开发者防不胜防。尤其是攻击目标直指开发环境,可能会牵连到 CI/CD 流水线和代码仓库凭证,比起普通用户中毒影响范围更广。提醒大家自查一下是不是用了 sevenspan 命名空间下的包,或者最近更新过的可疑依赖。另外,开启双因素认证和定期审计 GitHub 账号的授权应用,现在看来越来越必要了。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-6 23:43 , Processed in 0.031290 second(s), 17 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部