PolinRider es una campaña de ataque a la cadena de suministro atribuida a Corea del Norte (grupo Lazarus / clúster Contagious Interview) que, a finales de abril de 2026, había comprometido 1.951 repositorios de GitHub... Se han publicado más de 1.700 paquetes npm maliciosos como parte de la operación Contagious Inte...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
La campaña PolinRider representa uno de los ataques más agresivos y técnicamente sofisticados jamás atribuidos a Corea del Norte contra la cadena de suministro de código abierto. Detectada por primera vez por OpenSourceMalware en marzo de 2026, se ha expandido rápidamente a través de múltiples ecosistemas de paquetes y herramientas de desarrollo, comprometiendo cerca de 2.000 repositorios de GitHub y utilizando la tecnología blockchain para hacer resiliente su infraestructura de comando y control (C2) .
PolinRider se atribuye a la República Popular Democrática de Corea (RPDC) y está alineada con el grupo Lazarus. Opera como una subcampaña dentro del clúster más amplio conocido como Contagious Interview (también rastreado como Famous Chollima) . La campaña se ha fusionado operativamente con la relacionada TasksJacker, que se centra en abusar de la automatización de tareas de VS Code
.
La escala de PolinRider es vasta y crece rápidamente:
La campaña se ha extendido mucho más allá de npm, su vector inicial:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt y debug-glit .vscode/tasks.json maliciosos y pipelines de CI inyectados La campaña también comprometió la librería Axios (versiones 1.14.1 y 0.30.0) en abril de 2026 a través de una dependencia maliciosa llamada plain-crypto-js, afectando aproximadamente a 100 millones de descargas semanales .
La cadena de infección de PolinRider es un proceso de cuatro etapas cuidadosamente orquestado, diseñado para maximizar el sigilo y minimizar la necesidad de interacción de la víctima.
Los atacantes añaden JavaScript fuertemente ofuscado al final de archivos de configuración legítimos de desarrolladores, como postcss.config.mjs, tailwind.config.js, eslint.config.mjs y next.config.mjs . Las líneas maliciosas se rellenan con un exceso de espacios en blanco, empujando el código más allá del ancho de visualización predeterminado del IDE, haciéndolo invisible durante una revisión de código casual
.
PolinRider emplea tres técnicas principales de ocultamiento:
.woff2 falsos: El JavaScript ofuscado se disfraza como un archivo de fuente web, un formato binario que la mayoría de los desarrolladores nunca inspecciona Se inyectan archivos .vscode/tasks.json maliciosos en los repositorios. Cuando un desarrollador clona un repositorio comprometido y lo abre en VS Code, la tarea se ejecuta automáticamente sin necesidad de interacción del usuario. Esto evita por completo el paso de ingeniería social utilizado en campañas anteriores de Contagious Interview .
El cargador JavaScript desofuscado recupera la siguiente etapa de la carga maliciosa leyendo datos cifrados incrustados en transacciones de criptomonedas. La campaña utiliza las blockchains TRON, Aptos y BSC (BNB Smart Chain) como canales C2 de dead-drop . Esta técnica de "etherhiding" hace que la eliminación de la infraestructura sea extremadamente difícil, ya que los datos de C2 residen de forma inmutable en blockchains públicas.
PolinRider distribuye un conjunto de cargas maliciosas, cada una con capacidades específicas:
La principal familia de malware distribuida es una nueva variante de BeaverTail, un conocido malware JavaScript asociado con operaciones de la RPDC. Actúa como un dropper de primera etapa y un recolector de credenciales .
La cadena de infección distribuye un RAT basado en JavaScript rastreado como DEV#POPPER.js. Proporciona capacidades completas de ejecución remota de código, acceso persistente y la capacidad de ejecutar comandos arbitrarios en la estación de trabajo del desarrollador comprometida. La Unidad de Respuesta a Amenazas (TRU) de eSentire lo detectó atacando al sector de Energía, Servicios Públicos y Residuos en febrero de 2026 .
Desplegado junto con DEV#POPPER, OmniStealer ataca agresivamente credenciales de billeteras de criptomonedas, claves privadas, credenciales almacenadas en el navegador, tokens de sesión, claves API y secretos de CI/CD .
PolinRider es una evolución operativa directa de la campaña Contagious Interview. Mientras que Contagious Interview se basaba históricamente en señuelos de falsas entrevistas de trabajo e ingeniería social para engañar a los desarrolladores e instalar proyectos troyanizados, PolinRider representa un cambio hacia un compromiso de la cadena de suministro totalmente automatizado y sin ingeniería social .
Las diferencias y superposiciones clave incluyen:
Basándose en la orientación de OpenSourceMalware, Socket Security, Sonatype y otros investigadores, las organizaciones deben tomar las siguientes medidas:
package.json, go.mod y los archivos de bloqueo (lockfiles) postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs y similares en busca de JavaScript ofuscado añadido .vscode/ en busca de tasks.json inesperados con configuraciones de ejecución automática .woff2 y otros activos binarios en busca de JavaScript incrustado npm auditsocket.dev) antes de la instalación Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider es una campaña de ataque a la cadena de suministro atribuida a Corea del Norte (grupo Lazarus / clúster Contagious Interview) que, a finales de abril de 2026, había comprometido 1.951 repositorios de GitHub...
PolinRider es una campaña de ataque a la cadena de suministro atribuida a Corea del Norte (grupo Lazarus / clúster Contagious Interview) que, a finales de abril de 2026, había comprometido 1.951 repositorios de GitHub... Se han publicado más de 1.700 paquetes npm maliciosos como parte de la operación Contagious Interview, extendiéndose a PyPI, Go (Go Module Mirror), Packagist (PHP/Composer) y crates.io (Rust), e incluso comprometiendo...
La cadena de infección utiliza JavaScript ofuscado en archivos de configuración, archivos de fuente falsos (.woff2), la ejecución automática de tareas de VS Code (TasksJacker) y la recuperación de cargas desde las blo...