PolinRider ist eine nordkoreanische (Lazarus/Contagious Interview) Supply Chain Kampagne, die bis Ende April 2026 1.951 GitHub Repositories von 1.047 verschiedenen Besitzern kompromittiert hat – eine Verdreifachung in... Über 1.700 bösartige npm Pakete wurden im Rahmen der Contagious Interview Operation veröffentlic...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
Die PolinRider-Kampagne ist einer der aggressivsten und technisch ausgefeiltesten Open-Source-Supply-Chain-Angriffe, die je Nordkorea zugeschrieben wurden. Erstmals im März 2026 von OpenSourceMalware entdeckt, hat sie sich rasant über mehrere Paket-Ökosysteme und Entwickler-Toolchains ausgebreitet, fast 2.000 GitHub-Repositories kompromittiert und nutzt Blockchain-Technologie für eine extrem widerstandsfähige Kommando- und Kontrollinfrastruktur (C2) .
PolinRider wird der Demokratischen Volksrepublik Korea (DVRK) zugeschrieben und der Lazarus-Gruppe zugeordnet. Es operiert als Unterkampagne innerhalb des breiteren Contagious Interview-Clusters (auch bekannt als Famous Chollima) . Die Kampagne hat sich operativ mit der verwandten TasksJacker-Kampagne zusammengeschlossen, die sich auf den Missbrauch von VS Code-Aufgabenautomatisierung konzentriert
.
Das Ausmaß von PolinRider ist immens und wächst rasant:
Die Kampagne hat sich weit über ihren ursprünglichen Vektor npm hinaus ausgebreitet:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt und debug-glit .vscode/tasks.json-Dateien und injizierte CI/CD-Pipelines Die Kampagne kompromittierte im April 2026 auch die weit verbreitete Axios-npm-Bibliothek (Versionen 1.14.1 und 0.30.0) über eine bösartige Abhängigkeit namens plain-crypto-js, was etwa 100 Millionen wöchentliche Downloads betraf .
Die PolinRider-Infektionskette ist ein sorgfältig orchestrierter, vierstufiger Prozess, der maximale Heimlichkeit erfordert und die Interaktion mit dem Opfer minimiert.
Angreifer hängen stark obfuskierte JavaScript-Blöcke an das Ende legitimer Entwicklerkonfigurationsdateien wie postcss.config.mjs, tailwind.config.js, eslint.config.mjs und next.config.mjs an . Die bösartigen Zeilen werden durch übermäßige Leerzeichen aufgepolstert, sodass sie über die Standard-IDE-Ansichtsbreite hinausgeschoben werden und bei einer schnellen Code-Überprüfung unsichtbar bleiben
.
PolinRider verwendet drei primäre Verstecktechniken:
.woff2-Schriftdateien: Das obfuskierte JavaScript wird als Webfont-Datei getarnt – ein Format, das die meisten Entwickler nie überprüfen Bösartige .vscode/tasks.json-Dateien werden in Repositories injiziert. Wenn ein Entwickler ein kompromittiertes Repo klont und in VS Code öffnet, wird der Task automatisch ohne weitere Benutzerinteraktion ausgeführt. Dies umgeht den Social-Engineering-Schritt, der in früheren Contagious-Interview-Kampagnen verwendet wurde, vollständig .
Der deobfuskierte JavaScript-Loader ruft seine Payload der nächsten Stufe ab, indem er verschlüsselte Daten liest, die in Transaktionen von Kryptowährungs-Blockchains eingebettet sind. Die Kampagne nutzt die TRON-, Aptos- und BSC (BNB Smart Chain)-Blockchain-Netzwerke als Dead-Drop-C2-Kanäle . Diese "Etherhiding"-Technik macht die Beseitigung extrem schwierig, da die C2-Daten unveränderlich auf öffentlichen Blockchains existieren.
PolinRider liefert eine Reihe bösartiger Payloads mit spezifischen Fähigkeiten:
Die primäre Malware-Familie, die ausgeliefert wird, ist eine neue Variante von BeaverTail, einer bekannten JavaScript-basierten Malware, die mit DVRK-Operationen in Verbindung gebracht wird. Sie fungiert als Erststufen-Dropper und Credential-Harvester .
Die Infektionskette liefert einen JavaScript-basierten RAT, der als DEV#POPPER.js getrackt wird. Er bietet vollständige Remote-Code-Ausführung (RCE), dauerhaften Zugriff und die Fähigkeit, beliebige Befehle auf dem kompromittierten Entwickler-Workstation auszuführen. Die Threat Response Unit (TRU) von eSentire entdeckte ihn im Februar 2026 in freier Wildbahn mit Schwerpunkt auf der Energie-, Versorgungs- und Abfallwirtschaft .
Zusammen mit DEV#POPPER eingesetzt, zielt OmniStealer aggressiv auf Krypto-Wallet-Anmeldedaten, private Schlüssel, im Browser gespeicherte Anmeldedaten, Sitzungstoken, API-Schlüssel und CI/CD-Geheimnisse ab .
PolinRider ist eine direkte operative Weiterentwicklung der Contagious Interview-Kampagne. Während Contagious Interview historisch auf gefälschte Jobinterview-Locksvögel und Social Engineering setzte, um Entwickler zur Installation trojanisierter Projekte zu bewegen, markiert PolinRider eine Verschiebung hin zu vollautomatischer, Social-Engineering-freier Supply-Chain-Kompromittierung .
Wichtige Unterschiede und Überschneidungen:
Basierend auf den Leitlinien von OpenSourceMalware, Socket Security, Sonatype und anderen Forschern sollten Organisationen die folgenden Schritte unternehmen:
package.json, go.mod und Lockfiles postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs und ähnliche Dateien auf angehängtes obfuskiertes JavaScript scannen .vscode/-Verzeichnisse auf unerwartete tasks.json mit Auto-Run-Konfigurationen überprüfen .woff2- und andere binäre Asset-Dateien auf eingebettetes JavaScript überprüfen npm auditsocket.dev-Scanning) vor der Installation Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider ist eine nordkoreanische (Lazarus/Contagious Interview) Supply Chain Kampagne, die bis Ende April 2026 1.951 GitHub Repositories von 1.047 verschiedenen Besitzern kompromittiert hat – eine Verdreifachung in...
PolinRider ist eine nordkoreanische (Lazarus/Contagious Interview) Supply Chain Kampagne, die bis Ende April 2026 1.951 GitHub Repositories von 1.047 verschiedenen Besitzern kompromittiert hat – eine Verdreifachung in... Über 1.700 bösartige npm Pakete wurden im Rahmen der Contagious Interview Operation veröffentlicht; die Kampagne hat sich auf PyPI, Go, Packagist (PHP) und crates.io (Rust) ausgebreitet und sogar die weit verbreitete...
Die Kampagne liefert BeaverTail (einen JavaScript Dropper/Stealer), DEV POPPER.js (ein Remote Access Trojaner) und OmniStealer (einen Information Stealer für Krypto Wallets und Anmeldedaten) und stellt eine gefährlich...