Segurança cibernética

Hackers norte-coreanos publicam 108 pacotes e extensões maliciosas na campanha PolinRider

Atores de ameaça norte-coreanos vinculados à campanha Contagious Interview publicaram 108 pacotes e extensões de navegador maliciosos nos repositórios npm (gerenciador de pacotes do Node.js), Packagist (repositório de pacotes PHP), Go e Google Chrome, como parte da operação PolinRider, que segue ativa.


Ravie Lakshmanan Domingo - 05 de Julho de 2026 às 03:07
The Hacker News

Os atores de ameaça norte-coreanos vinculados à campanha Contagious Interview foram observados publicando 108 pacotes e extensões de navegador maliciosos nos repositórios npm (gerenciador de pacotes do Node.js), Packagist (repositório de pacotes PHP), Go e Google Chrome, no âmbito de uma atividade em andamento batizada de PolinRider.

"A campanha continua ativa, e é provável que novos pacotes maliciosos continuem surgindo à medida que os atores de ameaça comprometem contas de mantenedores, modificam repositórios legítimos e publicam versões de pacotes infectados nas quais mantêm ou obtêm acesso ao registro", afirmou o pesquisador de segurança da Socket, Karlo Zanki, em uma análise publicada esta semana.

Os 162 artefatos de versão maliciosos abrangem múltiplas versões correspondentes a 108 pacotes e extensões únicos, incluindo 19 bibliotecas npm, 10 pacotes do Composer, 61 módulos em Go e uma extensão do Google Chrome.

Contagious Interview é o codinome atribuído a uma campanha alinhada à Coreia do Norte que transforma em arma o recrutamento de emprego para atingir desenvolvedores de software e pessoas que trabalham no setor de criptomoedas, usando entrevistas e avaliações de emprego convincentes para induzi-las a executar códigos maliciosos.

A atividade é conhecida por estar ativa desde pelo menos 2023. Os atacantes se passam por recrutadores ou colaboradores em plataformas como LinkedIn, GitHub ou sites de freelancers, frequentemente montando empresas de fachada elaboradas e perfis de funcionários gerados por inteligência artificial (IA) para conquistar confiança e, por fim, distribuir malware.

A PolinRider foi identificada pela primeira vez pela equipe OpenSourceMalware em março de 2026, descrita como uma ação em que os atores de ameaça implantam payloads JavaScript ofuscados e maliciosos em centenas de repositórios públicos no GitHub pertencentes a diversos proprietários, a fim de distribuir uma nova variante do BeaverTail, um malware em JavaScript conhecido e associado ao Contagious Interview.

Até 11 de abril de 2026, a atividade comprometeu 1.951 repositórios públicos no GitHub associados a 1.047 proprietários únicos, enquanto também se fundiu com outro agrupamento chamado TaskJacker, que injeta arquivos maliciosos de tarefas do VS Code em repositórios já existentes de usuários do GitHub. As tarefas do VS Code incluem a opção "runOn: 'folderOpen'" para disparar a execução de código arbitrário quando a pasta é aberta como pasta de trabalho em um IDE (ambiente integrado de desenvolvimento) como o VS Code ou o Cursor.

"O ator de ameaça não está usando credenciais do GitHub roubadas", afirmou a OpenSourceMalware. "Em vez disso, as vítimas foram comprometidas por meio de uma extensão maliciosa do VS Code ou de um pacote npm." Acredita-se que os atacantes estejam assumindo o controle de contas de mantenedores, provavelmente por meio de sequestro de domínios expirados ou de outro caminho de recuperação de conta, para viabilizar o esquema.

Uma vez executado, o malware busca no computador infectado por determinados arquivos, como "postcss.config.mjs", "tailwind.config.js", "eslint.config.mjs", "next.config.mjs", "babel.config.js" e "app.js", e, caso os encontre, anexa a eles um código JavaScript malicioso.

O malware também utiliza um script em lote do Windows para modificar de forma discreta o último commit, fazendo parecer que as alterações foram feitas pelo autor original. Suspeita-se que ferramentas semelhantes estejam sendo usadas para reescrever o histórico do Git em outros sistemas operacionais, como Linux e macOS.

"A técnica central permanece consistente ao longo da campanha: os atores de ameaça plantam carregadores JavaScript ofuscados em repositórios legítimos, ocultam o código por meio de preenchimento com espaços em branco ou arquivos de fonte .woff2 falsos, e disparam a execução por meio de ferramentas de desenvolvimento, como os arquivos de tarefas do VS Code", afirmou a Socket.

Na onda mais recente, o payload funciona como um carregador de malware em JavaScript que se conecta a infraestruturas de blockchain, incluindo serviços das redes TRON, Aptos e BNB Smart Chain, para buscar um payload de segundo estágio criptografado que se descompacta em DEV#POPPER RAT (trojan de acesso remoto) e OmniStealer. Essa cadeia de ataque foi detalhada pela eSentire em março de 2026.

"Os atores de ameaça usam reescrita do histórico do Git, incluindo pushes forçados e commits com datas retroativas, para fazer com que mudanças maliciosas pareçam mais antigas e menos suspeitas", disse Zanki. "Isso torna a página inicial do GitHub e o histórico de commits visível indicadores pouco confiáveis de comprometimento; os defensores devem analisar os logs de atividade dos repositórios, os metadados das versões dos pacotes, a configuração de tarefas do VS Code e alterações suspeitas em arquivos de configuração."

A divulgação ocorre no momento em que a JFrog descobriu um conjunto de pacotes npm ligados ao Contagious Interview, alguns dos quais se passavam por ferramentas Rollup polyfill (pacotes de compatibilidade) para possibilitar acesso remoto e roubo de dados. No início desta semana, outro conjunto de pacotes npm e Go foi identificado incorporando tarefas de execução automática do VS Code para rodar payloads em JavaScript disfarçados de arquivos de fonte falsos, indicando sobreposições táticas entre as operações Fake Font, TaskJacker e PolinRider.

Usuários que tenham instalado esses pacotes devem tratar o ambiente como comprometido, rotacionar segredos expostos a partir de uma máquina limpa, remover as versões afetadas e reconstruir a partir de um lockfile (arquivo de bloqueio de dependências) considerado íntegro, além de auditar estações de trabalho e repositórios de desenvolvedores em busca de caminhos de execução ocultos ou commits suspeitos que tenham modificado os arquivos ".vscode/tasks.json", "config.js", "vite.config.js" e "eslint.config.js".

cibersegurança hackers norte-coreanos ataque à cadeia de suprimentos