dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glit 등 logutilkit, apachelicense, fluxhttp, license-utils-kit 등 github.com/golangorg/formstash, github.com/aokisasakidev/mit-license-pkg 등 logtrace 등 .vscode/tasks.json 및 CI/CD 파이프라인 침투 2026년 4월, PolinRider 캠페인은 전 세계 주간 다운로드 약 1억 회를 기록한 인기 npm 라이브러리 Axios(버전 1.14.1 및 0.30.0)를 감염시켰습니다. 공격자는 plain-crypto-js라는 악성 의존성을 주입했습니다.
공격자는 postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs 같은 정상 설정 파일 맨 끝에 고도로 난독화된 자바스크립트를 덧붙입니다. 악성 코드 라인은 과도한 공백으로 밀어내어 기본 IDE 화면 너비 밖에 위치하므로 코드 리뷰 중 육안으로 발견하기 어렵습니다.
감염된 저장소에 .vscode/tasks.json 파일이 주입됩니다. 개발자가 저장소를 클론(clone)하여 VS Code에서 열기만 하면 추가 사용자 상호작용 없이 작업이 자동 실행됩니다. 이는 이전 Contagious Interview 캠페인의 사회공학적 단계를 완전히 우회합니다.
난독화가 해제된 자바스크립트 로더는 TRON(트론), Aptos(앱토스), BSC(BNB 스마트 체인) 블록체인 네트워크의 거래 내역에 암호화되어 저장된 데이터를 읽어 다음 단계 페이로드를 가져옵니다. 이 'etherhiding' 기법은 C2 데이터가 변경 불가능한 공개 블록체인에 영구히 존재하므로 차단이 극도로 어렵습니다.
완전한 원격 코드 실행(RCE) 기능을 갖춘 자바스크립트 기반 RAT. eSentire의 TRU(위협 대응팀)는 2026년 2월 에너지·유틸리티·폐기물 업종 고객 환경에서 실제 탐지했습니다.
PolinRider는 Contagious Interview 캠페인의 직접적인 진화형입니다. 과거 Contagious Interview는 가짜 채용 면접을 미끼로 개발자가 트로이 목마 프로젝트를 설치하도록 사회공학적 공격에 의존했지만, PolinRider는 완전 자동화된, 사회공학적 단계가 필요 없는 공급망 침해로 전환했습니다.
npm auditsocket.dev 스캔)을 사용합니다