このキャンペーンは初期の浸入口であるnpmをはるかに超えて広がっています:
dev-log-core、logger-base、logkitx、pino-debugger、debug-fmt、debug-glit など).vscode/tasks.json ファイルと注入されたCIパイプラインを介して侵害 このキャンペーンは、2026年4月には広く使われている Axios npmライブラリ(バージョン1.14.1および0.30.0)も侵害し、plain-crypto-js という悪意ある依存関係を介して、週間約1億ダウンロードに影響を与えました 。
PolinRiderの感染チェーンは、ステルス性を最大化し、被害者の操作を最小限にするよう綿密に調整された4段階のプロセスです。
攻撃者は、postcss.config.mjs、tailwind.config.js、eslint.config.mjs、next.config.mjs などの正規の開発者設定ファイルの末尾に、高度に難読化されたJavaScriptを追加します 。悪意のある行は過剰な空白でパディングされ、コードがデフォルトのIDE表示幅を超えて押し出され、通常のコードレビューでは見えなくなります
。
PolinRiderは主に3つの隠蔽手法を採用しています:
悪意ある .vscode/tasks.json ファイルがリポジトリに注入されます。開発者が侵害されたリポジトリをクローンしてVS Codeで開くと、タスクは自動的に、それ以上のユーザー操作なしで実行されます。これにより、以前のContagious Interviewキャンペーンで使用されていたソーシャルエンジニアリングのステップ全体が不要になります 。
難読化が解除されたJavaScriptローダーは、暗号通貨のブロックチェーントランザクションに埋め込まれた暗号化データを読み取ることで、次のステージのペイロードを取得します。このキャンペーンは、TRON、Aptos、BSC(BNB Smart Chain) のブロックチェーンネットワークをデッドドロップC2チャネルとして使用します 。この「etherhiding」手法により、C2データは公開ブロックチェーン上に不変に存在するため、摘発が極めて困難になります。
PolinRiderは、それぞれ特定の機能を持つ一連の悪意あるペイロードを配信します:
配信される主要なマルウェアファミリーは、北朝鮮の作戦に関連する既知のJavaScriptベースマルウェア BeaverTail の新種です。これは第1段階のドロッパーおよび認証情報収集ツールとして機能します 。
感染チェーンは、DEV#POPPER.js として追跡されるJavaScriptベースのRATを配信します。これにより、完全なリモートコード実行(RCE)、永続的なアクセス、侵害された開発者ワークステーション上での任意のコマンド実行が可能になります。eSentireの脅威対応ユニット(TRU)は、2026年2月にエネルギー・公益事業・廃棄物セクターを標的とした実際の攻撃を検出しました 。
DEV#POPPERと共に展開される OmniStealer は、暗号通貨ウォレットの認証情報、秘密鍵、ブラウザ保存の認証情報、セッショントークン、APIキー、CI/CDシークレットを積極的に標的にします 。
PolinRiderは、Contagious Interview キャンペーンからの直接的な運用進化形です。Contagious Interviewが歴史的に偽の面接勧誘やソーシャルエンジニアリングに依存して開発者を騙し、トロイの木化されたプロジェクトをインストールさせていたのに対し、PolinRiderは完全に自動化され、ソーシャルエンジニアリングを必要としないサプライチェーン侵害への移行を表しています 。
主な違いと重複は以下の通りです:
OpenSourceMalware、Socket Security、Sonatypeなどの研究者からのガイダンスに基づき、組織は以下の手順を踏むべきです:
npm auditsocket.dev スキャン)をインストール前に実行