文章总结： 疑似朝鲜APT组织PolinRider发起GitHub供应链攻击，向675个开源仓库植入Beavertail恶意软件变种，通过四层混淆JavaScript载荷与区块链C2架构实现隐蔽控制，影响数千开发者。攻击篡改Git提交历史并感染npm包，建议加强依赖审计、构建环境隔离与代码提交校验以防范扩散。 综合评分： 85 文章分类： 威胁情报,供应链安全,漏洞分析,恶意软件,安全预警

疑似朝鲜APT组织发起大规模GitHub供应链攻击，数百个开源仓库遭恶意代码植入

原创

BaizeSec BaizeSec

白泽安全实验室

2026年3月17日 11:57 北京

一、事件概述

2026年3月8日，全球开源安全研究机构发布紧急预警，披露一起疑似由朝鲜APT组织PolinRider主导的GitHub大规模供应链攻击事件。该组织将混淆JavaScript恶意载荷植入数百个公开代码仓库，载荷为朝鲜组织使用的Beavertail恶意软件最新变种，可窃取凭证、加密资产并部署远程控制木马（RAT）。目前攻击已呈现快速扩散态势，对全球前端与Node.js开发者生态构成严重威胁。

本次攻击被定级为严重（CRITICAL），属于活跃供应链感染事件。截至报告发布，受感染的GitHub公开仓库已从两天前的116个激增至675个，涉及352名独立仓库所有者，其中个人用户305名、组织47家。攻击借助知名开源项目Neutralinojs实现二次扩散，该项目拥有8400星标与495次下载，致使恶意代码进一步传播至大量下游用户与贡献者，充分暴露供应链攻击跨项目、跨组织的扩散威力。

图 1 受感染的GitHub项目数据示意

二、攻击背景及技术分析

经研究人员深度分析溯源确认，PolinRider隶属于朝鲜Lazarus集团，与此前曝光的“Contagious Interview”“TasksJacker”攻击活动存在关联，是具备长期供应链攻击能力的国家级APT组织。此次攻击未依赖窃取GitHub凭证，而是通过恶意VS Code扩展或被篡改npm包作为初始感染载体，在项目安装、构建阶段自动执行并注入恶意代码。

攻击核心手法具备极强隐蔽性：恶意载荷以混淆JavaScript形式，追加在项目合法配置文件末尾，紧跟正常代码之后，常规代码审查极易忽略。恶意程序会自动检索本地项目中的postcss.config.mjs、tailwind.config.js、eslint.config.mjs、next.config.mjs、babel.config.js、App.js等常见配置与入口文件，成功匹配后追加恶意代码；同时释放Windows批处理脚本temp_auto_push.bat，该脚本可提取最近一次Git提交元数据，篡改系统时间伪装提交时间戳，绕过Git提交与推送钩子，静默修改并强制推送提交，完美掩盖代码篡改痕迹。研究人员推测，针对Linux与macOS系统存在同类功能模块，只是未在源码中留下明确工具痕迹。

图 2 感染的恶意NPM包

从感染文件类型来看，postcss.config.mjs以416例占比约62%，成为最主要感染目标，直指PostCSS或Tailwind CSS相关npm包是核心感染入口。攻击者还主动发布tailwind-mainanimation、tailwind-autoanimation两款恶意npm包，沿用相同注入手法，其中前者仍处于上线状态，后者已被npm仓库下架。

技术层面，该恶意载荷采用四层混淆设计：第一层以种子2857687执行字符置换，解混淆后得到基础模块相关数组；第二层以种子2667686继续置换，还原函数名与字符串常量；第三层通过自定义替换密码完成字符映射；第四层对区块链获取的最终载荷进行XOR加密。其命令与控制（C2）架构极具创新性，采用区块链死信解析机制，优先查询波场（TRON）区块链账户交易数据，波场不可用时回退至Aptos链，同时支持币安智能链（BSC），从链上交易提取加密JavaScript载荷，经硬编码密钥XOR解密后通过eval执行。由于区块链数据不可篡改，该C2架构几乎无法被传统手段关停。

三、事件总结

此次攻击再次敲响开源供应链安全警钟，国家级APT组织持续瞄准前端生态与npm依赖链，隐蔽注入、篡改提交历史、区块链C2等组合手段，对开发者、企业与开源社区的防护能力提出更高要求。建议全行业加强依赖审计、构建环境隔离与代码提交校验，及时部署检测规则，防范攻击进一步扩散。

参考链接：

https://opensourcemalware.com/blog/polinrider-attack

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《疑似朝鲜APT组织发起大规模GitHub供应链攻击，数百个开源仓库遭恶意代码植入》