- Advertisement -spot_img

Hackers norcoreanos publican 108 paquetes y extensiones maliciosos en la campaña PolinRider

Se ha observado que los actores de amenazas norcoreanos vinculados a la campaña Contagious Interview publican 108 paquetes únicos y extensiones de navegador web que abarcan npm, Packagist, Go y Google Chrome como parte de una actividad continua denominada PolinRider.

“La campaña permanece activa y es probable que sigan apareciendo nuevos paquetes maliciosos a medida que los actores de amenazas comprometan las cuentas de los mantenedores, modifiquen los repositorios legítimos y publiquen versiones de paquetes infectados donde retienen u obtienen acceso al registro”, dijo el investigador de seguridad de Socket, Karlo Zanki, en un análisis publicado esta semana.

Los 162 artefactos maliciosos abarcan múltiples versiones correspondientes a 108 paquetes y extensiones únicos, incluidas 19 bibliotecas npm, 10 paquetes Composer, 61 módulos Go y una extensión de Google Chrome.

Contagious Interview es el apodo asignado a una campaña alineada con Corea del Norte que utiliza la contratación laboral como arma para apuntar a desarrolladores de software e individuos que trabajan en los sectores de criptomonedas, utilizando entrevistas de trabajo y evaluaciones persuasivas para engañarlos y ejecutar códigos maliciosos.

Se sabe que la actividad está activa desde al menos 2023. Los atacantes se hacen pasar por reclutadores o colaboradores en plataformas como LinkedIn, GitHub o sitios web independientes, a menudo creando elaboradas empresas fachada y perfiles de empleados generados por IA para generar confianza y, en última instancia, distribuir malware.

PolinRider fue señalado por primera vez por el equipo de OpenSourceMalware en marzo de 2026, y lo describió como involucrando a actores de amenazas que implantaban cargas útiles maliciosas de JavaScript ofuscadas en cientos de repositorios públicos de GitHub que pertenecen a varios propietarios únicos para entregar una nueva variante de BeaverTail, un conocido malware de JavaScript asociado con Contagious Interview.

LEER  Google ordenó pagar $ 314 millones por uso indebido de los datos celulares de los usuarios de Android sin permiso

Hasta el 11 de abril de 2026, la actividad comprometió 1951 repositorios públicos de GitHub asociados con 1047 propietarios únicos, al mismo tiempo que se fusionó con otro clúster llamado TaskJacker que coloca archivos de tareas VS Code maliciosos en los repositorios existentes de los usuarios de GitHub. Las tareas de VS Code incluyen la opción “runOn: ‘folderOpen'” para activar la ejecución de código arbitrario cuando la carpeta se abre como una carpeta de espacio de trabajo en un IDE como VS Code o Cursor.

“El actor de la amenaza no está utilizando credenciales de GitHub robadas”, dijo OpenSourceMalware. “En cambio, las víctimas han sido comprometidas a través de una extensión VS Code maliciosa o un paquete npm”. Se cree que los atacantes se están apoderando de las cuentas de mantenimiento, probablemente mediante la adquisición de dominios vencidos u otra ruta de recuperación de cuentas, para llevar a cabo el plan.

Una vez ejecutado, el malware busca en la computadora infectada ciertos archivos como “postcss.config.mjs”, “tailwind.config.js”, “eslint.config.mjs”, next.config.mjs”, babel.config.js” y “app.js” y, si los encuentra, les agrega código JavaScript malicioso.

También utiliza un script por lotes de Windows para modificar sigilosamente la última confirmación, haciendo que parezca como si hubiera sido realizada por el autor original. Se sospecha que se están utilizando herramientas similares para reescribir el historial de Git para otros sistemas operativos como Linux y macOS.

“El oficio principal sigue siendo consistente en toda la campaña: los actores de amenazas colocan cargadores de JavaScript ofuscados en repositorios legítimos, ocultan el código a través de espacios en blanco o archivos de fuentes .woff2 falsos y activan la ejecución a través de herramientas de desarrollo como archivos de tareas VS Code”, dijo Socket.

LEER  La nueva campaña de malware utiliza túneles CloudFlare para entregar ratas a través de cadenas de phishing

En la última ola, la carga útil funciona como un cargador de malware JavaScript que llega a la infraestructura blockchain, incluidos los servicios TRON, Aptos y BNB Smart Chain, para recuperar una carga útil cifrada de segunda etapa que se descomprime en DEV#POPPER RAT y OmniStealer. Esta cadena de ataque fue detallada por eSentire en marzo de 2026.

“Los actores de amenazas utilizan la reescritura del historial de Git, incluidos forzados y compromisos antifechados para hacer que los cambios maliciosos parezcan más antiguos y menos sospechosos”, dijo Zanki. “Esto hace que la página de inicio de GitHub y el historial de confirmaciones visibles sean indicadores poco confiables de compromiso; los defensores deben revisar los registros de actividad del repositorio, los metadatos de lanzamiento de paquetes, la configuración de tareas de VS Code y los cambios sospechosos en los archivos de configuración”.

El desarrollo se produce cuando JFrog descubrió un grupo de paquetes npm vinculados a Contagious Interview, algunos de los cuales se hacían pasar por herramientas Rollup polyfill para permitir el acceso remoto y el robo de datos. A principios de esta semana, se identificó que otro conjunto de paquetes npm y paquetes Go incorporaban tareas de ejecución automática de VS Code para ejecutar cargas útiles de JavaScript disfrazadas de archivos de fuentes falsos, lo que indica superposiciones tácticas entre Fake Font, TaskJacker y PolinRider.

Los usuarios que hayan instalado estos paquetes deben tratar el entorno como si estuviera comprometido, rotar los secretos expuestos de una máquina limpia, eliminar las versiones afectadas y reconstruir a partir de un archivo de bloqueo en buen estado, y auditar las estaciones de trabajo y los repositorios de los desarrolladores en busca de rutas de ejecución ocultas o confirmaciones sospechosas que hayan modificado los archivos “.vscode/tasks.json”, “config.js”, “vite.config.js” y “eslint.config.js”.

LEER  La vulnerabilidad de lectura fuera de límites de Ollama permite la pérdida de memoria de procesos remotos
- Advertisement -spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Últimos artículos

Un destino de la Ruta de la Seda quiere que los...

Uzbekistán está tratando de convertir el creciente número de visitantes en estadías más largas y mayores ingresos...

Noticias relacionadas

- Advertisement -spot_img