PolinRider è una campagna nordcoreana (Lazarus/Contagious Interview) che, a fine aprile 2026, aveva compromesso 1.951 repository GitHub di 1.047 proprietari unici, con una crescita quasi triplicata in cinque settimane. Oltre 1.700 pacchetti npm dannosi sono stati pubblicati, con la campagna estesa a PyPI, Go, Packag...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
La campagna PolinRider rappresenta uno degli attacchi più aggressivi e tecnicamente sofisticati alla supply chain dell'open source mai attribuiti alla Corea del Nord. Segnalata per la prima volta da OpenSourceMalware nel marzo 2026, si è rapidamente espansa attraverso molteplici ecosistemi di pacchetti e toolchain per sviluppatori, compromettendo quasi 2.000 repository GitHub e sfruttando la tecnologia blockchain per rendere resistente la sua infrastruttura di comando e controllo (C2) .
PolinRider è attribuito alla Repubblica Popolare Democratica di Corea (DPRK) e allineato al gruppo Lazarus. Opera come sottocampagna all'interno del più ampio cluster Contagious Interview (noto anche come Famous Chollima) . La campagna si è fusa operativamente con la correlata TasksJacker, che si concentra sull'abuso dell'automazione dei task di VS Code
.
La portata di PolinRider è enorme e in rapida crescita:
La campagna si è diffusa ben oltre npm, il suo vettore iniziale:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt e debug-glit .vscode/tasks.json dannosi e pipeline CI injettate La campagna ha anche compromesso la diffusa libreria npm Axios (versioni 1.14.1 e 0.30.0) nell'aprile 2026 tramite una dipendenza dannosa denominata plain-crypto-js, colpendo circa 100 milioni di download settimanali .
La catena di infezione di PolinRider è un processo a quattro stadi attentamente orchestrato, progettato per massimizzare la furtività e ridurre al minimo la necessità di interazione della vittima.
Gli aggressori aggiungono JavaScript pesantemente offuscato alla fine di file di configurazione legittimi per sviluppatori come postcss.config.mjs, tailwind.config.js, eslint.config.mjs e next.config.mjs . Le righe maligne sono imbottite con spazi bianchi in eccesso, spingendo il codice oltre la larghezza di visualizzazione predefinita dell'IDE e rendendolo invisibile durante una revisione casuale del codice
.
PolinRider impiega tre tecniche di occultamento principali:
.woff2: Il JavaScript offuscato è camuffato da file di font web, un formato binario che la maggior parte degli sviluppatori non controlla mai File .vscode/tasks.json dannosi vengono iniettati nei repository. Quando uno sviluppatore clona un repository compromesso e lo apre in VS Code, il task viene eseguito automaticamente senza alcuna ulteriore interazione da parte dell'utente. Ciò bypassa completamente la fase di ingegneria sociale utilizzata nelle precedenti campagne Contagious Interview .
Il loader JavaScript deoffuscato recupera il payload dello stadio successivo leggendo dati crittografati incorporati nelle transazioni delle criptovalute. La campagna utilizza le reti blockchain TRON, Aptos e BSC (BNB Smart Chain) come canali C2 a deposito morto . Questa tecnica di "etherhiding" rende lo smantellamento estremamente difficile, poiché i dati C2 esistono in modo immutabile su blockchain pubbliche.
PolinRider distribuisce una suite di payload malevoli, ciascuno con capacità specifiche:
La famiglia di malware principale consegnata è una nuova variante di BeaverTail, un noto malware JavaScript associato alle operazioni della DPRK. Funge da dropper di primo stadio e da ruba-credenziali .
La catena di infezione consegna un RAT basato su JavaScript tracciato come DEV#POPPER.js. Fornisce piena capacità di esecuzione remota del codice (RCE), accesso persistente e la capacità di eseguire comandi arbitrari sulla workstation dello sviluppatore compromessa. L'unità di risposta alle minacce (TRU) di eSentire lo ha rilevato in natura a febbraio 2026, prendendo di mira il settore dell'Energia, dei Servizi Pubblici e dei Rifiuti .
Distribuito insieme a DEV#POPPER, OmniStealer prende di mira in modo aggressivo le credenziali dei portafogli di criptovalute, le chiavi private, le credenziali memorizzate nel browser, i token di sessione, le chiavi API e i segreti CI/CD .
PolinRider è un'evoluzione operativa diretta della campagna Contagious Interview. Mentre Contagious Interview si basava storicamente su finte offerte di lavoro e ingegneria sociale per indurre gli sviluppatori a installare progetti troianizzati, PolinRider rappresenta un passaggio verso una compromissione completamente automatizzata e senza ingegneria sociale della supply chain .
Differenze e sovrapposizioni chiave:
Sulla base delle indicazioni di OpenSourceMalware, Socket Security, Sonatype e altri ricercatori, le organizzazioni dovrebbero adottare le seguenti misure:
package.json, go.mod e dai lockfile postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs e simili per JavaScript offuscato aggiunto .vscode/ per tasks.json inaspettati con configurazioni di auto-esecuzione .woff2 e altri asset binari per JavaScript incorporato npm auditsocket.dev) prima dell'installazione Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider è una campagna nordcoreana (Lazarus/Contagious Interview) che, a fine aprile 2026, aveva compromesso 1.951 repository GitHub di 1.047 proprietari unici, con una crescita quasi triplicata in cinque settimane.
PolinRider è una campagna nordcoreana (Lazarus/Contagious Interview) che, a fine aprile 2026, aveva compromesso 1.951 repository GitHub di 1.047 proprietari unici, con una crescita quasi triplicata in cinque settimane. Oltre 1.700 pacchetti npm dannosi sono stati pubblicati, con la campagna estesa a PyPI, Go, Packagist (PHP) e crates.io (Rust).
Il vettore d'infezione sfrutta file di configurazione contraffatti, esecuzione automatica in VS Code e payload recuperati tramite blockchain (TRON, Aptos, BSC).