PolinRider атакує ланцюг постачання в екосистемі Packagist

North Korean Hackers Активізують Напади на Ланцюжки Постачання PolinRider через Go, Packagist та npm Пакети

Зловмисники із Північної Кореї не зупиняються на досягнутому і продовжують розширювати свою діяльність у межах нападу на ланцюжки постачання PolinRider. Цей кластер загроз, відомий як Contagious Interview або Famous Chollima, розширює свою цільову область далеко за рамки початкових експлойтів реєстру npm. Більше того, безпекова телеметрія зафіксувала 162 шкідливі версії, поширені через 108 унікальних пакетів.

Експерти з Socket виявили сліди активних компрометацій у 80 модулях Go, 10 пакетах Packagist і принаймні одному розширенні для Chrome. Ця операція атак звертає увагу на використання легітимних акаунтів утримувачів, щоб змінити довірені репозиторії. Це дозволяє зловмисникам публікувати заражені версії пакетів у процеси розгортання підприємств, де вони зберігають доступ до цих реєстрів.

Тактики Ухилення та Розповсюдження Навантаження

У центрі атаки знаходяться приховані JavaScript-завантажувачі, які вбудовані у звичайно виглядаючі активи проекту. Зловмисники часто заповнюють виконувані рядки надмірним пробілом, щоб перемістити шкідливий код за межі видимого розміру стандартних IDE. У більш складних випадках, завантажувач повністю вбудовується у фальшиві .woff2 файли шрифтів, видаючи навантаження за статичний візуальний актив.

Ці приховані завантаження активуються шляхом маніпуляцій локального інструментарію розробника, а не тригерами виконання програм. Майстри зламів використовують файли завдань Visual Studio Code, щоб змусити виконання. Модифікований .vscode/tasks.json файл налаштовує приховане завдання, яке виконується при відкритті проєктної папки інженером. Ця конфігурація непомітно передає підроблений .woff2 актив до Node.js, ініціюючи послідовність зараження ще до компіляції програми розробником.

Після декамбіяції, початковий завантажувач JavaScript взаємодіє з зовнішніми блокчейн-мережами. Він звертається до публічної RPC-інфраструктури на TRON, BNB Smart Chain та Aptos для отримання зашифрованих другорядних навантажень. Використання децентралізованої Web3 архітектури на зразок Aptos надає зловмисникам стійкі способи розповсюдження, яке обходить фільтрацію вихідного трафіку та чорні списки доменів.

Маніпуляція Репозиторіями та Експлуатація Доступу

Зловмисники виконують примусові пуші Git та вставляють зміни в коді в раніші оновлення обслуговування. Видима історія коммітів часто виглядає надійно, з регулярними повідомленнями від довірених утримувачів. Часто лише ретельний перегляд логів дозволяє виявити ретроспективні зміни та примусові пуші.

З недавніх компрометацій постраждав обліковий запис Xpos587 у GitHub, що ілюструє скоординований характер цих атак. Кілька проектів, які веде єдиний обліковий запис, майже одночасно отримали оновлення, що може свідчити про злам облікового запису з подальшою масовою зміною репозиторіїв. від подальшої масової зміни репозиторіїв. Використовуючи це, зловмисники успішно опублікували заражені модулі Go в низові реєстри.

Подібна інфільтрація відбулася у середовищі PHP з метою підриву реєстру Packagist. Кампанія зламала namespace sevenspan, керований організацією 7span. Внутрішні утримувачі виявили аномальні .woff2 файли та почали частково очищувати репозиторії, проте пропустили вторинні навантаження, приховані у конфігураційних файлах, таких як vite.config.js та eslint.config.js.

Злам одного робочого місця розробника через заражені пакети може поставити під загрозу всю корпоративну мережу. Зловмисники пріоритезують викрадення високозначущих токенів автентифікації, наприклад, доступу до Kubernetes, що відкриває їм прямий адміністративний доступ до виробничої інфраструктури.

Аналіз розвідки загроз підтверджує, що головна мета агресорів — це встановлення стійких позицій в середовищах безперервної інтеграції та розгортання (CI/CD). Коли зловмисники отримують доступ до CI/CD середовища, вони можуть вводити шкідливі артефакти у корпоративні збірки програмного забезпечення, перетворюючи організацію жертви на активного дистриб’ютора нападів на ланцюжок постачання

.