大数跨境

紧急预警!PolinRider大规模扩张,朝鲜APT攻陷近2000个开源仓库,开发者一键安装即失陷

紧急预警!PolinRider大规模扩张,朝鲜APT攻陷近2000个开源仓库,开发者一键安装即失陷 AI紫队安全研究
2026-07-04
3
导读:大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!

        大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究,然后点击右上角的【...】,然后点击【设为星标】即可

        关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

 


导语

Socket.dev安全实验室重磅追踪:朝鲜APT组织PolinRider供应链攻击活动持续扩张,短短数月受害GitHub仓库数量暴涨近3倍,结合面试钓鱼、NPM投毒、VS Code后门、区块链隐蔽C2多套打法,专攻Web3、软件开发、政企技术人员。只要你下载项目、安装依赖、打开面试源码,电脑就会植入BeaverTail窃密木马,源码、数据库密钥、钱包私钥、企业内部凭证全部被批量窃取,开发团队供应链风险彻底拉满。


一、团伙背景:老牌开源猎手,和面试钓鱼团伙同源

PolinRider属于朝鲜国家级APT体系,和此前爆火「Contagious Interview假面试攻击」为同一作战集群,两套战术协同作战:

1. 线上钓鱼:伪装企业HR发放笔试题库,投放带毒GitHub项目;

2. 供应链投毒:直接入侵开发者账号,篡改正规开源仓库、发布恶意NPM包。

早期仅600余个受害仓库,2026年最新统计已达1951个受害仓库、1047位开发者账号沦陷,攻击范围覆盖全球前端、后端、区块链开发群体,Web3企业是核心重点狩猎对象。


二、四大投毒手段,全部藏在开发者日常文件里

攻击者吃透前端、VS Code开发习惯,恶意代码完全融入正常配置文件,常规代码扫描工具很难识别。

1. 篡改PostCSS等通用配置文件

这是PolinRider最经典的投毒方式。

攻击者拿到仓库权限后,在`postcss.config.js`、编译配置末尾追加混淆JS载荷。项目执行npm install、启动编译时自动执行后门,无任何报错弹窗。

知名包`@common-stack/generate-plugin`两个Alpha测试版本被污染,每周下载量超1100次,无数企业项目引入风险依赖。


2. VS Code tasks.json暗藏执行陷阱

PolinRider与TasksJacker攻击链路合并,新增VS Code定向攻击:

恶意仓库内置`/.vscode/tasks.json`配置,用户用VS打开仓库、允许信任文件夹时,自动执行curl管道命令,后台下载远控载荷。

普通开发者只会关注业务代码,极少查看隐藏配置文件,漏洞隐蔽性极强。


3. 伪装字体文件(.woff2)藏匿JS木马

攻击者将恶意JS加密嵌入字体文件,项目加载静态资源时自动解密执行,静态代码扫描只会识别为普通字体资源,很难判定恶意行为。


4. 面试模板项目定向投毒

两套专用钓鱼项目模板:ShoeVista电商项目、StakingGame区块链质押项目。

HR发送笔试题压缩包,解压后是完整可运行源码,实则内置多层下载器,专门针对求职程序员,个人电脑沦陷后可横向渗透原公司内网。


三、完整入侵链路:打开项目=全盘窃密

阶段1 初始植入

两种入口:

1. 开发者克隆被污染GitHub/GitLab仓库,执行npm安装;

2. 收到面试源码压缩包,VS打开自动触发任务脚本。

阶段2 分层载荷下载

1. 第一层下载器:BeaverTail轻量窃取工具,采集主机信息、进程、浏览器Cookie;

2. 第二层主后门InvisibleFerret,Python编写持久化远控,支持文件上传下载、命令执行;

3. 高阶攻击会释放Linux rootkit,服务器环境实现深度潜伏。

阶段3 区块链隐形C2通道(最大杀手锏)

普通恶意程序依赖固定域名、IP,容易被防火墙拦截,PolinRider另辟蹊径:

将C2指令、木马哈希写入波场、BSC公链交易记录。

攻击者无需搭建固定服务器,受害者程序读取链上公开交易获取指令,域名封禁、IP拉黑完全无效,流量伪装成正常区块链查询,EDR几乎无法告警。


阶段4 海量数据外传

木马自动扫描:

本地源码、SSH私钥、数据库配置、钱包助记词、浏览器账号、云服务Token、CI/CD流水线凭证,打包通过加密通道上传攻击者存储节点。


四、高危受害人群,看看你是否在目标范围

1. Web3/区块链开发、交易所技术人员(团伙核心目标);

2. 前端、全栈程序员,日常大量引入NPM开源依赖;

3. 求职开发岗,频繁接收远程笔试、线上项目任务;

4. 中小企业研发团队,缺少供应链安全审核;

5. 外包、自由开发者,习惯直接拉取陌生开源项目调试。


五、一眼识别仓库4大危险特征

1. 仓库内存在`postcss.config.js`、tasks.json末尾存在乱码、Base64混淆代码;

2. 项目包含无来源.woff2字体文件,体积异常;

3 开发版Alpha、Beta依赖包,更新日志模糊、维护账号陌生;

4. 面试项目附带自动编译、一键启动脚本,未标注依赖来源。


六、企业&个人双重防御方案

个人开发者防护(日常必做)

1. 求职笔试题单独隔离虚拟机运行,本机绝不打开陌生仓库;

2. 克隆项目后先检索tasks、postcss配置文件,查找混淆JS;

3. 生产环境仅使用正式Release稳定包,禁用dev测试版依赖;

4. VS关闭自动执行任务,陌生仓库拒绝信任文件夹;

5. 定期清理本地SSH、钱包密钥,项目区分公私开发环境。


企业研发团队落地规范

1. CI/CD流水线新增依赖代码扫描,拦截混淆JS、异常下载指令;

2. 搭建内部私有NPM镜像,外部包人工审核后才可引入;

3. 限制员工本地执行陌生项目,统一沙箱调试环境;

4. 监控终端外联区块链查询异常流量、境外静态站点下载行为;

5. 定期梳理开发人员GitHub、NPM账号权限,防止账号被盗篡改仓库。


七、总结

PolinRider证明,现代APT早已放弃传统病毒木马,全面转向软件供应链偷袭。

不用漏洞、不用钓鱼邮件,只需要一段藏在配置里的JS代码,就能拿下研发主机,顺藤摸瓜窃取企业核心源码与资产。

对所有开发人员而言,不要轻信任何开源项目、面试源码,供应链安全已经是企业第一道生死防线。

转发给身边前后端、区块链开发同事,避开开源投毒陷阱!

加入知识星球,可获取权益

一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

二、为什么加入?  

职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?  


三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」 

✅ 职业发展「精准导航」

 1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;  

 晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;

 技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);

 架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);  


四、适合谁?  

 想突破职业天花板的安全工程师/架构师;  

 需快速落地安全项目的企业负责人;  

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。


【声明】内容源于网络
0
0
AI紫队安全研究
在网络攻防演习中,除了攻防双方的红蓝两队之外,作为 “下一代渗透测试” 的紫队相比于传统的红蓝对抗,代表着更具协作性的方法。本公众号致力于从防御视角如何进行更隐秘地攻击,从攻击视角促进国内防守能力水平更好更快地提升。
内容 20
粉丝 0
AI紫队安全研究 在网络攻防演习中,除了攻防双方的红蓝两队之外,作为 “下一代渗透测试” 的紫队相比于传统的红蓝对抗,代表着更具协作性的方法。本公众号致力于从防御视角如何进行更隐秘地攻击,从攻击视角促进国内防守能力水平更好更快地提升。
总阅读43
粉丝0
内容20