PolinRider Supply-Chain-Angriff: 108 Pakete

Der PolinRider Supply-Chain-Angriff ist von Socket.dev, SecurityWeek und SC Media bestätigt: Ein nordkoreanisch verknüpfter Akteur hat vier separate Open-Source-Ökosysteme geflutet — npm, Packagist, Go-Module und den Chrome Web Store — mit 108 bösartigen Paketen, die auf den Diebstahl von Entwickler- und Cloud-Zugangsdaten ausgelegt sind.
Was ist passiert
Forscher ordnen den PolinRider Supply-Chain-Angriff nordkoreanischen Bedrohungsakteuren zu, die mit der Lazarus Group und APT37 in Verbindung stehen und an die seit Jahren laufende Operation „Contagious Interview“ anknüpfen, die Entwicklungsumgebungen kompromittiert, um Zugangsdaten und Quellcode zu stehlen. Der Akteur kompromittierte legitime Maintainer-Konten und Repositories, um mindestens 108 bösartige Pakete in 162 Release-Artefakten zu veröffentlichen: 19 npm-Bibliotheken, 10 Packagist-/Composer-Pakete, 61 Go-Module und eine Chrome-Web-Store-Erweiterung. Mehrere npm-Pakete waren als Tailwind-CSS-Animations-Utilities getarnt — Namen wie tailwindcss-style-animate, tailwind-mainanimation und tailwind-autoanimation — bewusst gewählt, um sich in die normale Abhängigkeitsliste eines Entwicklers einzufügen.
Die bösartige Payload ist ein verschleierter JavaScript-Loader, der öffentliche Blockchain-RPC-Infrastruktur kontaktiert, um verschlüsselten Second-Stage-Code abzurufen — eine „EtherHiding“-ähnliche Technik, die die Kampagne ungewöhnlich widerstandsfähig gegen Takedowns macht, da die Command-and-Control-Adresse auf der Blockchain liegt statt auf einer Domain, die einfach beschlagnahmt werden könnte. Einmal aktiv, führt die Payload Credential-Diebstahl, Quellcode-Exfiltration und laterale Bewegung in verbundene CI/CD- und Cloud-Umgebungen durch.
Warum das wichtig ist
PolinRider ist der 17. dokumentierte Supply-Chain-Angriff auf Entwickler-Tooling im 2026er-Tracking-Bogen von DIESEC — und der erste, der Nordkorea statt der TeamPCP-/Mini-Shai-Hulud-Linie zugeordnet wird, die für die meisten früheren Kampagnen des Jahres verantwortlich war (Trivy, Checkmarx, LiteLLM, SAP @cap-js, TanStack und andere). Das ist mehr als eine Attributions-Randnotiz: Es bestätigt, dass „Maintainer-Konto kompromittieren, Registry mit getarnten Paketen fluten“ nicht mehr die Handschrift einer einzigen Gruppe ist. Es ist jetzt ein erprobtes, übertragbares Playbook, das jeder gut ausgestattete Akteur eigenständig einsetzen kann.
Für DACH-Unternehmen ist die praktische Exposition standardmäßig hoch: npm, Packagist und Go-Module sind branchenübergreifend Standard-Tooling in praktisch jedem modernen Entwicklungsteam. Der Blockchain-basierte C2-Kanal bricht zudem die übliche Incident-Response-Annahme, dass die Beschlagnahmung oder Blockierung einer C2-Domain eine Infektion neutralisiert — hier gibt es keine Domain zu beschlagnahmen.
Was Sie jetzt tun sollten
- Sofortmaßnahme: Gleichen Sie Ihre
package-lock.json-,composer.lock– undgo.sum-Dateien mit der veröffentlichten PolinRider-Indikatorliste (Socket.dev) ab, insbesondere bei Namen im Stil von Tailwind-CSS-Animations-Utilities. - Prüfen: Kontrollieren Sie die Netzwerk-Logs Ihrer CI/CD-Build-Agenten auf ausgehende Verbindungen zu Blockchain-RPC-Endpunkten oder ungewöhnlichen öffentlichen RPC-Anbietern — der stärkste Indikator für diese Loader-Technik.
- Mitigieren: Falls ein betroffenes Paket irgendwo in Ihrer Umgebung installiert wurde, rotieren Sie jede von diesem Build- oder Entwicklerrechner aus erreichbare Zugangsdaten — npm-/Registry-Tokens, Cloud-Zugriffsschlüssel, SSH-Keys, CI/CD-Secrets — nicht nur das Paket selbst.
- Monitoring: Erzwingen Sie Installationen mit Lockfile-Integritätsprüfung (
npm ci, gepinnte Composer-/Go-Modul-Versionen mit Checksummen-Verifizierung), um zu verhindern, dass ein stiller bösartiger Versionssprung unbemerkt in Ihre Build-Pipeline gelangt.
DIESEC Einschätzung
Was DACH-Entwicklungsteams am meisten beunruhigen sollte, ist nicht PolinRider im Speziellen — sondern dass ein zweiter, unabhängiger Staatsakteur nun genau die Registry-Flutungstechnik übernommen hat, die die TeamPCP-Linie in den vergangenen sechs Monaten perfektioniert hat. Die Technik selbst ist zum Risiko geworden, gegen das man sich wappnen muss, nicht das Toolkit eines einzelnen Akteurs. Und die Blockchain-gehostete C2-Infrastruktur ist ein Vorgeschmack darauf, wie die nächste Generation solcher Kampagnen gebaut wird, um Takedowns zu überstehen.
Nicht sicher, ob eines der 108 PolinRider-Pakete in Ihren Abhängigkeitsbaum gelangt ist? Kontaktieren Sie DIESEC für eine schnelle Software-Supply-Chain-Expositionsprüfung.
Quellen: Socket.dev | SecurityWeek
Veröffentlicht: 2026-07-10 | Kategorie: Tägliche News | ~4 Min. Lesezeit

