PolinRider is een aanval op de software supply chain die wordt toegeschreven aan Noord Korea (Lazarus/Contagious Interview cluster). De campagne heeft meer dan 1.700 kwaadaardige npm pakketten gepubliceerd en verspreidt zich nu ook naar PyPI, Go, Packagist (PHP) en crates.io (Rust).

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key details of the PolinRider supply chain campaign linked to North Korean hackers,. Article summary: Here is a comprehensive, source-cited breakdown of the PolinRider campaign.. Topic tags: general, general web, user generated, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evide
De PolinRider-campagne is een van de meest agressieve en technisch geavanceerde aanvallen op open-source supply chains die ooit aan Noord-Korea is toegeschreven. Voor het eerst gesignaleerd door OpenSourceMalware in maart 2026, heeft de campagne zich snel uitgebreid over meerdere pakket-ecosystemen en ontwikkeltools, waarbij bijna 2.000 GitHub-reposities zijn gecompromitteerd en blockchain-technologie wordt gebruikt voor een veerkrachtige command-and-control (C2)-infrastructuur .
PolinRider wordt toegeschreven aan de Democratische Volksrepubliek Korea (DVK) en valt binnen de Lazarus Group. Het opereert als een subcampagne binnen het bredere Contagious Interview-cluster (ook bekend als Famous Chollima) . De campagne is operationeel samengevoegd met de gerelateerde TasksJacker-campagne, die zich richt op het misbruiken van VS Code-taakautomatisering
.
De schaal van PolinRider is enorm en groeit snel:
De campagne heeft zich ver verspreid buiten npm, de initiële vector:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt en debug-glit .vscode/tasks.json-bestanden en geïnjecteerde CI-pipelines De campagne compromitteerde ook de veelgebruikte Axios npm-bibliotheek (versies 1.14.1 en 0.30.0) in april 2026 via een kwaadaardige afhankelijkheid genaamd plain-crypto-js, die ongeveer 100 miljoen wekelijkse downloads trof .
De PolinRider-infectieketen is een zorgvuldig georkestreerd, vierfasig proces dat is ontworpen om maximale stealth te bieden en minimale interactie van het slachtoffer vereist.
Aanvallers voegen zwaar geobfusceerde JavaScript toe aan het einde van legitieme ontwikkelaarsconfiguratiebestanden zoals postcss.config.mjs, tailwind.config.js, eslint.config.mjs en next.config.mjs . De kwaadaardige regels worden opgevuld met overmatige witruimte, waardoor de code buiten de standaard IDE-weergavebreedte wordt geduwd en onzichtbaar blijft tijdens een snelle codereview
.
PolinRider gebruikt drie primaire verbergingstechnieken:
Kwaadaardige .vscode/tasks.json-bestanden worden in repositories geïnjecteerd. Wanneer een ontwikkelaar een gecompromitteerde repo kloont en opent in VS Code, wordt de taak automatisch uitgevoerd zonder verdere gebruikersinteractie. Dit omzeilt de social engineering-stap die in eerdere Contagious Interview-campagnes werd gebruikt volledig .
De gedebusceerde JavaScript-lader haalt de volgende payload op door versleutelde gegevens te lezen die zijn ingebed in cryptocurrency-blockchaintransacties. De campagne maakt gebruik van de TRON-, Aptos- en BSC (BNB Smart Chain)-blockchainnetwerken als dead-drop C2-kanalen . Deze "etherhiding"-techniek maakt het uitschakelen uiterst moeilijk, omdat de C2-gegevens onveranderlijk op openbare blockchains bestaan.
PolinRider levert een reeks kwaadaardige payloads, elk met specifieke mogelijkheden:
De belangrijkste malwarefamilie die wordt geleverd is een nieuwe variant van BeaverTail, een bekende JavaScript-gebaseerde malware die geassocieerd wordt met DVK-operaties. Het fungeert als een first-stage dropper en credential-harvester .
De infectieketen levert een JavaScript-gebaseerde RAT die wordt gevolgd als DEV#POPPER.js. Het biedt volledige remote code execution (RCE), persistente toegang en de mogelijkheid om willekeurige opdrachten uit te voeren op de gecompromitteerde ontwikkelaarswerkstation. eSentire's Threat Response Unit (TRU) heeft het in het wild gedetecteerd, gericht op de sector Energie, Nutsbedrijven en Afval in februari 2026 .
Ingezet naast DEV#POPPER, richt OmniStealer zich agressief op cryptocurrency wallet-referenties, privésleutels, in de browser opgeslagen referenties, sessietokens, API-sleutels en CI/CD-geheimen .
PolinRider is een directe operationele evolutie van de Contagious Interview-campagne. Terwijl Contagious Interview historisch gezien vertrouwde op nep-sollicitatiegesprekken en social engineering om ontwikkelaars te verleiden getrojaniseerde projecten te installeren, vertegenwoordigt PolinRider een verschuiving naar volledig geautomatiseerde, social-engineering-vrije supply chain-compromittering .
Belangrijke verschillen en overlappingen:
Op basis van richtlijnen van OpenSourceMalware, Socket Security, Sonatype en andere onderzoekers, moeten organisaties de volgende stappen ondernemen:
package.json, go.mod en lockfiles postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs en vergelijkbare bestanden op toegevoegde geobfusceerde JavaScript .vscode/-mappen op onverwachte tasks.json met automatische uitvoeringsconfiguraties .woff2 en andere binaire asset-bestanden op ingebedde JavaScript npm auditsocket.dev-scanning) vóór installatie Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PolinRider is een aanval op de software supply chain die wordt toegeschreven aan Noord Korea (Lazarus/Contagious Interview cluster).
PolinRider is een aanval op de software supply chain die wordt toegeschreven aan Noord Korea (Lazarus/Contagious Interview cluster). De campagne heeft meer dan 1.700 kwaadaardige npm pakketten gepubliceerd en verspreidt zich nu ook naar PyPI, Go, Packagist (PHP) en crates.io (Rust).
PolinRider gebruikt een geavanceerde, vierfasige infectietechniek: verborgen JavaScript in configuratiebestanden, nep .woff2 lettertypen, automatisch uitvoerbare VS Code taken en blockchain gebaseerde payload ophaling...