Нова вълна от атаки по веригата за доставки се разпространява в света на софтуера с отворен код, като този път целта са самите разработчици.
Изследователи по сигурността разкриха кампания, наречена PolinRider, която крие зловредни JavaScript зареждащи програми (loaders) в доверени кодови хранилища, чакайки нищо неподозиращи разработчици да ги стартират.
Кампанията е свързана със севернокорейски киберзаплахи, асоциирани с по-широките групи на активност Contagious Interview и Famous Chollima. Тези групи са известни с това, че насочват атаките си към софтуерни инженери с фалшиви предложения за работа и заразени тестове за програмиране. PolinRider изглежда е разширение на тази тактика, но този път скрита в легитимно изглеждащи пакети.
Това, което прави PolinRider опасна, е нейният обхват. Тя започна в npm, но оттогава се разпространи в Packagist, Go модули и дори в разширение за Chrome, което показва, че нападателите не се ограничават до една екосистема. Изследователи от Socket.dev споделят, че са идентифицирали 162 зловредни релийз артефакта, разпределени в 108 уникални пакета и разширения, включително 80 компрометирани Go модула, 10 Packagist пакета и едно Chrome разширение.
Нападателите разчитат на смес от стари и нови трикове за прикриване. По-ранните версии криеха замъглен (obfuscated) JavaScript в конфигурационни файлове като config.js, докато по-новите версии маскират зловредния скрипт като фалшив .woff2 шрифтов файл. Изпълнението се задейства тихо чрез файлове с задачи (task files) във Visual Studio Code, които могат да се стартират автоматично при отваряне на папка.
Веднъж активен, зареждащият модул се свързва с блокчейн и публични RPC услуги (TRON, Aptos, BNB Smart Chain), за да изтегли криптиран зловреден полезен товар от втори етап, декриптира го с вграден XOR ключ и го изпълнява. Наблюдаваните полезни товари включват DEV#POPPER и OmniStealer, които позволяват отдалечено изпълнение на команди и кражба на идентификационни данни, браузърни данни и информация за криптовалутни портфейли.
Голяма част от тази кампания е фокусирана около профил в GitHub с име Xpos587, чиито хранилища са били модифицирани в тесен времеви прозорец, което подсказва за превземане на акаунта (account takeover). Нападателите също така са използвали пренаписване на Git историята (force pushes и задна дата на коммити), за да изглежда подправеният код по-стар, отколкото е в действителност. Екипите по сигурността се съветват да одитират системите си за автоматично изпълняващи се VS Code задачи и да преглеждат хранилищата за подозрителни промени в конфигурационните файлове.