North Korean Hackers Compromise Go and PHP Packages
3 days ago
- #software security
- #DPRK malware
- #supply-chain attack
- PolinRider 是一个与朝鲜有关的供应链攻击活动,它接管合法的 GitHub 账户并向仓库中注入混淆的 JavaScript 加载器。
- 该活动最初仅限于 GitHub,后来扩展至多个软件包生态系统,包括 Packagist、Go 模块、npm 和 PyPI,但其恶意软件并未进化。
- Go 和 Packagist 等生态系统尤其容易受到攻击,因为它们直接从 Git 仓库解析软件包,这使得 GitHub 账户接管等同于获得了发布权限。
- 该恶意软件使用的方法包括:向配置文件追加 JavaScript、伪造 .woff2 字体文件、通过 .vscode/tasks.json 触发,以及使用仿冒的 npm 依赖项。
- 有效载荷通过区块链死掉(如 TRON、Aptos)分发,最终植入 Lazarus 工具包(如 Beavertail 和 InvisibleFerret),用于窃取凭证和建立命令与控制通道。
- 攻击者使用 temp_auto_push.bat 等脚本重写 Git 历史以隐藏篡改痕迹,并通过强制推送提交保留原始时间戳。
- 防御者应审核注册表发布历史与仓库修改情况,加强 GitHub 安全措施(如多因素认证),并扫描隐藏的 JavaScript 和恶意 tasks.json 等攻击指标。
- 尽管 npm 和 PyPI 由于使用独立的发布凭证而不易受攻击,但 PolinRider 仍会在这些生态系统中从头发布恶意软件包。