Socket ترصد 108 حزمة خبيثة في هجوم PolinRider على سلسلة التوريد
قالت Socket إنها رصدت 162 إصدارا خبيثا عبر 108 حزمة في حملة PolinRider على سلسلة التوريد. ويسمي التقرير تعرض Go وPackagist وامتداد Chrome لكنه لا يحدد الشركات الضحية.

قالت Socket إن محلليها أحصوا 162 إصدارا خبيثا عبر 108 حزمة في هجوم PolinRider على سلسلة التوريد، بما يشمل نشاطا في Go وPackagist وبنية مرتبطة بـ npm وامتدادا لمتصفح Chrome.
تأتي الأدلة من قياسات أمنية لدى Socket، لذلك يتعامل المقال مع النتائج كأبحاث تهديدات صادرة عن شركة أمنية وليست كملف حادث مستقل. وقال محللو Socket إن الحملة تستخدم حسابات مشرفين مخترقة ومحملات JavaScript مخفية لوضع نسخ مصابة داخل مستودعات قد يثق بها المطورون.
هجوم PolinRider على سلسلة التوريد يمتد عبر Go وPackagist
قال محللو Socket إنهم وجدوا آثار اختراق في 80 وحدة Go منفصلة و10 حزم Packagist وامتداد Chrome واحد. وحددت Socket مجموعة التهديد باسم Contagious Interview، والمعروفة أيضا باسم Famous Chollima.
قال التقرير إن العملية تجاوزت نشاط npm السابق إلى بيئات حزم Go وPHP. وفي هذه البيئات، يمكن لوصول موثوق إلى المستودعات أن يضع نسخا خبيثة داخل خطوط نشر المؤسسات.
محملات JavaScript مخفية تستخدم مهام VS Code وخطوطا مزيفة
وصف محللو Socket سلسلة تحميل تخفي محملات JavaScript داخل أصول المشاريع. ويدفع المهاجمون الأسطر التنفيذية بمسافات زائدة أو يضعون كود التحميل داخل ملفات خطوط .woff2 مزيفة حتى يصعب ملاحظة الكود الخبيث أثناء المراجعة العادية.
قال التقرير إن التنفيذ يعتمد على أدوات المطور المحلية. ويضبط ملف .vscode/tasks.json معدل مهمة خلفية تعمل عندما يفتح المهندس مجلد المشروع، وتمرر أصل الخط المزيف إلى Node.js قبل أن يجمع المطور التطبيق.
شبكات RPC على البلوك تشين تحمل الحمولات المشفرة
قال محللو Socket إن المحمل يتصل ببنية RPC عامة على TRON وBNB Smart Chain وAptos لجلب حمولات مرحلة ثانية مشفرة. ثم يستخدم المحمل مفاتيح XOR مدمجة وتنفيذ eval() لتشغيل الكود المسترجع.
تشمل الحمولات الثانوية المسماة OmniStealer وDEV#POPPER. ووفقا للتقرير، يمكن لهذه الأدوات دعم تنفيذ أوامر عشوائية وسرقة بيانات الاعتماد وسرقة بيانات المتصفح واستخراج محافظ العملات المشفرة.
تنظيف Packagist لم يزل حمولات ملفات الإعداد
قال التقرير إن الحملة اخترقت نطاق sevenspan الذي تديره مؤسسة 7span. وعثر المشرفون على ملفات .woff2 غير طبيعية وبدأوا تنظيفا جزئيا، لكن محللي Socket قالوا إن متغيرات حمولة إضافية بقيت مخفية في ملفات إعداد تشمل vite.config.js وeslint.config.js.
وصف محللو Socket أيضا تلاعبا على مستوى الحساب حول حساب GitHub باسم Xpos587. وقال التقرير إن المهاجمين استخدموا عمليات force push وتعهدات مؤرخة للخلف، بينما أشارت القياسات إلى أنهم لم يمتلكوا وصول السجل اللازم لنشر نسخ Python خبيثة إلى PyPI.
Socket لا تسمي الشركات المتضررة
قال التقرير إن الحزم المسمومة يمكن أن تكشف محطات عمل المطورين وبيئات CI/CD لأن المهاجمين يعطون الأولوية لرموز المصادقة وبيانات اعتماد بنية الإنتاج. وذكر بيانات اعتماد Kubernetes مثالا على الوصول الذي يمكن أن يمنح المهاجمين صلاحيات إدارية داخل أنظمة الإنتاج.
لم تسم Socket الشركات المتأثرة، أو تسرد ضحايا مؤكدة في المراحل اللاحقة، أو تنشر تواريخ اكتمال المعالجة، أو تحدد كل حساب مشرف مخترق، أو تكشف ما إذا كان أي خط بناء مؤسسي قد وزع برمجيات مملوكة مصابة.
















