Северокорейские хакеры превратили доверенные open-source репозитории в оружие против разработчиков

Северокорейские хакеры превратили доверенные open-source репозитории в оружие против разработчиков

изображение: grok

Северокорейская группировка развернула масштабную операцию против цепочки поставок ПО, захватив свыше сотни популярных пакетов и репозиториев с открытым кодом. Модификации внесены скрытно, от имени законных владельцев проектов, поэтому разработчики при обновлении привычных зависимостей получали вместе с ними бэкдор и стилер. Кампания получила название PolinRider и связана с более широкой активностью Contagious Interview.

О продолжающейся операции рассказали аналитики Socket. Старт кампании датируется декабрём 2025 года. Схема отличается от классических атак на репозитории — вместо создания фейковых библиотек-двойников группировка перехватывает контроль над учётными записями сопровождающих реальных проектов с наработанной репутацией. Дальше вредоносные вставки прилетают уже от лица доверенного мейнтейнера, и жертвы не видят повода для сомнений.

После установки заражённого пакета на машину разработчика подтягивались два основных компонента:

  • троян удалённого доступа DEV#POPPER, дающий операторам полноценный контроль над системой;
  • инфостилер OmniStealer, заточенный под извлечение чувствительных данных;
  • скрытые JavaScript-загрузчики, вшитые прямо в модифицированные репозитории;
  • обфусцированные скрипты, обращающиеся к блокчейн-инфраструктуре за полезной нагрузкой.

Интересно, что PolinRider перекликается по методикам с ранее известными кампаниями DeceptiveDevelopment, Operation Dream Job и ClickFake Interview — во всех случаях приоритетной мишенью выступают именно разработчики.

Прицел на инженеров-программистов не случаен. Их рабочие станции открывают дорогу в репозитории компании, во внутреннюю инфраструктуру и в процессы сборки. Один скомпрометированный ноутбук разработчика превращается в точку входа сразу к десяткам корпоративных секретов, токенам CI/CD и облачным консолям.

Основной удар пришёлся на экосистемы NPM, Packagist, модули Go и расширения для браузера Chrome. По подсчётам Socket, на текущий момент выявлено 162 вредоносных артефакта, распределённых по 108 пакетам. Аналитики допускают, что цифра ещё вырастет, поскольку операция продолжает разворачиваться прямо сейчас.

Часть техник PolinRider заслуживает отдельного разбора:

  • захват аккаунтов действующих мейнтейнеров вместо публикации новых библиотек-подделок;
  • перезапись истории Git, из-за которой вредоносные коммиты выглядят более старыми;
  • размещение загрузчиков внутри конфигурационных файлов, а не только в исходниках;
  • обращение к публичным RPC-эндпоинтам блокчейна для получения зашифрованной полезной нагрузки;
  • одновременное внесение изменений в несколько репозиториев одного владельца.

Стоит обратить внимание на приём с перезаписью хронологии коммитов — он серьёзно осложняет форензику и мешает установить точную дату компрометации проекта, из-за чего команды безопасности вынуждены проверять весь жизненный цикл пакета целиком.

Опора на блокчейн-инфраструктуру заметно усложняет реагирование. Обфусцированные загрузчики забирают конфигурацию с публичных RPC-сервисов, скрывая тем самым командные серверы за легитимным децентрализованным трафиком. Заблокировать такую связку на уровне сети обычными методами практически нереально.

Из конкретных эпизодов Socket выделила компрометацию аккаунта GitHub под ником Xpos587. Разработчик вёл сразу несколько заметных проектов, и вредоносные правки в них появились почти одновременно, 23 июня. Синхронность стала одним из первых индикаторов организованной атаки, а не разовой шалости.

Позднее операция расползлась и на Packagist. Заражённые пакеты обнаружены в пространстве имён sevenspan, причём часть вредоносных загрузчиков оказалась спрятана в конфигах, а не в исполняемом коде. Из-за этого при первичной чистке репозиториев некоторые опасные компоненты уцелели и продолжили работать.

Аналитики Socket настаивают, что любой факт установки затронутых пакетов или Chrome-расширений нужно расценивать серьёзно. Пострадавшую систему следует считать скомпрометированной до окончания полной инвентаризации. PolinRider охотится за содержимым локальных реестров пакетов, исходным кодом, ключами доступа к облакам и учётными данными пайплайнов CI/CD. Восстанавливать рабочую среду специалисты советуют только на заведомо чистом железе, поскольку вернуть доверие к машине, побывавшей под управлением операторов, невозможно.

Ранее сообщалось, что, по данным TRM Labs, с января по июнь 2026 года группировки, связываемые с КНДР, похитили у криптовалютных платформ около 643 млн долларов. Эта сумма составила примерно две трети всех цифровых активов, украденных за первое полугодие. Аналитики отмечали, что последствия подобных атак затрагивают и российских пользователей криптосервисов, поскольку часть из них хранит средства на пострадавших площадках или взаимодействует с ними через межсетевые блокчейн-мосты.

Эксперты редакции CISOCLUB прокомментировали кампанию PolinRider и заявили, что перехват репутационных аккаунтов мейнтейнеров становится доминирующей моделью атак на open-source. Специалисты уточнили, что связка «легитимный автор плюс перезаписанная история Git» практически обнуляет эффективность ручного код-ревью, если тот идёт без сверки с внешними индикаторами.

В редакции обратили внимание, что подключение блокчейн-инфраструктуры к доставке нагрузки давно перестало быть экзотикой и превращается в рабочий стандарт для APT-групп. По оценке аналитиков, корпоративным командам стоит пересмотреть политику доверия к обновлениям популярных зависимостей и добавить обязательную сверку хэшей коммитов с исторической базой. Отдельно специалисты рекомендовали перевести рабочие станции разработчиков в режим повышенного мониторинга исходящего трафика к публичным RPC-сервисам.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: