Omfattningen av PolinRider är enorm och växer snabbt:
Kampanjen har spridit sig långt bortom npm, som var den initiala vektorn:
dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt och debug-glit .vscode/tasks.json-filer och injicerade CI-pipelines Kampanjen komprometterade även det vida använda Axios npm-biblioteket (versionerna 1.14.1 och 0.30.0) i april 2026 via ett skadligt beroende vid namn plain-crypto-js, vilket påverkade cirka 100 miljoner veckovisa nedladdningar .
PolinRiders infektionskedja är en noggrant orkestrerad process i fyra steg, utformad för att maximera smygande och minimera behovet av offerinteraktion.
Angriparna lägger till kraftigt obfuskerad JavaScript i slutet av legitima utvecklarkonfigurationsfiler såsom postcss.config.mjs, tailwind.config.js, eslint.config.mjs och next.config.mjs . De skadliga raderna är utfyllda med överflödigt blanksteg, vilket trycker koden bortom standard-IDE-visningsbredden och gör den osynlig vid avslappnad kodgranskning
.
PolinRider använder tre primära gömningstekniker:
.woff2-teckensnittsfiler: Den obfuskerade JavaScripten är förklädd som en webbteckensnittsfil, ett binärt format som de flesta utvecklare aldrig inspekterar Skadliga .vscode/tasks.json-filer injiceras i repositorier. När en utvecklare klonar ett komprometterat repo och öppnar det i VS Code, körs uppgiften automatiskt utan ytterligare användarinteraktion. Detta kringgår helt det sociala ingenjörssteget som användes i tidigare Contagious Interview-kampanjer .
Den deobfuskerade JavaScript-lastaren hämtar sin nästa stegs nyttolast genom att läsa krypterad data inbäddad i kryptovalutatransaktioner. Kampanjen använder TRON, Aptos och BSC (BNB Smart Chain)-blockkedjenätverk som dead-drop C2-kanaler . Denna "etherhiding"-teknik gör åtgärdandet extremt svårt eftersom C2-datan finns oföränderligt på publika blockkedjor.
PolinRider levererar en serie skadliga nyttolaster, var och en med specifika kapaciteter:
Den primära skadeprogramfamiljen som levereras är en ny variant av BeaverTail, ett känt JavaScript-baserat skadeprogram kopplat till DPRK-operationer. Det fungerar som en första stegs droppare och referensstöldare .
Infektionskedjan levererar en JavaScript-baserad fjärråtkomsttrojan (RAT) som spåras som DEV#POPPER.js. Den ger full fjärrkodsexekvering (RCE), ihållande åtkomst och möjlighet att utföra godtyckliga kommandon på den komprometterade utvecklarens arbetsstation. eSentires Threat Response Unit (TRU) upptäckte den i verklig drift mot energi-, verktygs- och avfallssektorn i februari 2026 .
OmniStealer distribueras tillsammans med DEV#POPPER och riktar sig aggressivt mot inloggningsuppgifter för kryptoplånböcker, privata nycklar, webbläsarlagrade inloggningsuppgifter, sessionstokens, API-nycklar och CI/CD-hemligheter .
PolinRider är en direkt operativ utveckling av Contagious Interview-kampanjen. Medan Contagious Interview historiskt förlitade sig på falska jobbintervjuer och social ingenjörskonst för att lura utvecklare att installera trojaniserade projekt, representerar PolinRider en förskjutning mot helt automatiserad, social-ingenjörskonstfri försörjningskedjekompromettering .
Viktiga skillnader och överlappningar inkluderar:
Baserat på vägledning från OpenSourceMalware, Socket Security, Sonatype och andra forskare bör organisationer vidta följande åtgärder:
package.json, go.mod och låsfiler postcss.config.mjs, tailwind.config.js, eslint.config.mjs, next.config.mjs och liknande filer efter bifogad obfuskerad JavaScript .vscode/-kataloger efter oväntade tasks.json-filer med automatisk körningskonfiguration .woff2 och andra binära tillgångsfiler för inbäddad JavaScript npm auditsocket.dev-skanning) före installation