Hasty Briefsbeta

双语

North Korean Hackers Compromise Go and PHP Packages

3 days ago
  • #software security
  • #DPRK malware
  • #supply-chain attack
  • PolinRider 是一个与朝鲜有关的供应链攻击活动,它接管合法的 GitHub 账户并向仓库中注入混淆的 JavaScript 加载器。
  • 该活动最初仅限于 GitHub,后来扩展至多个软件包生态系统,包括 Packagist、Go 模块、npm 和 PyPI,但其恶意软件并未进化。
  • Go 和 Packagist 等生态系统尤其容易受到攻击,因为它们直接从 Git 仓库解析软件包,这使得 GitHub 账户接管等同于获得了发布权限。
  • 该恶意软件使用的方法包括:向配置文件追加 JavaScript、伪造 .woff2 字体文件、通过 .vscode/tasks.json 触发,以及使用仿冒的 npm 依赖项。
  • 有效载荷通过区块链死掉(如 TRON、Aptos)分发,最终植入 Lazarus 工具包(如 Beavertail 和 InvisibleFerret),用于窃取凭证和建立命令与控制通道。
  • 攻击者使用 temp_auto_push.bat 等脚本重写 Git 历史以隐藏篡改痕迹,并通过强制推送提交保留原始时间戳。
  • 防御者应审核注册表发布历史与仓库修改情况,加强 GitHub 安全措施(如多因素认证),并扫描隐藏的 JavaScript 和恶意 tasks.json 等攻击指标。
  • 尽管 npm 和 PyPI 由于使用独立的发布凭证而不易受攻击,但 PolinRider 仍会在这些生态系统中从头发布恶意软件包。