Hackers norte-coreanos publicam 108 packages e extensions maliciosos em campanha PolinRider
6 de Julho de 2026

Atores de ameaça norte-coreanos ligados à campanha Contagious Interview foram observados publicando 108 pacotes e extensões de navegador exclusivos, distribuídos entre npm, Packagist, Go e Google Chrome, como parte de uma atividade em andamento chamada PolinRider.

“A campanha continua ativa, e novos pacotes maliciosos provavelmente seguirão aparecendo à medida que os atores de ameaça comprometem contas de mantenedores, modificam repositórios legítimos e publicam versões infectadas de pacotes quando obtêm ou mantêm acesso ao registro”, afirmou o pesquisador de segurança da Socket Karlo Zanki, em uma análise publicada nesta semana.

Os 162 artefatos maliciosos de lançamento abrangem várias versões e correspondem a 108 pacotes e extensões únicos, incluindo 19 bibliotecas npm, 10 pacotes Composer, 61 módulos Go e uma extensão do Google Chrome.

Contagious Interview é o nome dado a uma campanha alinhada à Coreia do Norte que transforma recrutamento em arma para atingir desenvolvedores de software e profissionais do setor de criptomoedas.

Para isso, os criminosos usam entrevistas de emprego e avaliações convincentes para induzir as vítimas a executar código malicioso.

Essa atividade é conhecida desde, no mínimo, 2023.

Os atacantes se passam por recrutadores ou colaboradores em plataformas como LinkedIn, GitHub e sites de trabalho freelance.

Em muitos casos, montam empresas de fachada e perfis de funcionários gerados por IA para conquistar a confiança das vítimas e, no fim, entregar malware.

O PolinRider foi identificado pela primeira vez pela equipe OpenSourceMalware em março de 2026.

Na ocasião, o grupo descreveu a operação como a inserção de payloads JavaScript maliciosos e ofuscados em centenas de repositórios públicos do GitHub pertencentes a múltiplos donos, com o objetivo de distribuir uma nova variante do BeaverTail, um malware em JavaScript já associado à Contagious Interview.

Em 11 de abril de 2026, a atividade já havia comprometido 1.951 repositórios públicos do GitHub ligados a 1.047 proprietários distintos.

O cenário também se fundiu a outro cluster chamado TaskJacker, que adiciona arquivos maliciosos de tarefas do VS Code aos repositórios existentes dos usuários do GitHub.

Essas tarefas incluem a opção `runOn: 'folderOpen'`, capaz de acionar a execução de código arbitrário quando a pasta é aberta como pasta de trabalho em um IDE como VS Code ou Cursor.

“O ator de ameaça não está usando credenciais roubadas do GitHub”, disse a OpenSourceMalware.

“Em vez disso, as vítimas foram comprometidas por meio de uma extensão maliciosa do VS Code ou de um pacote npm.” A suspeita é de que os atacantes estejam assumindo contas de mantenedores, provavelmente por meio de sequestro de domínio expirado ou de outro caminho de recuperação de conta, para executar o esquema.

Depois de executado, o malware procura no computador infectado por arquivos específicos, como `postcss.config.mjs`, `tailwind.config.js`, `eslint.config.mjs`, `next.config.mjs`, `babel.config.js` e `app.js`.

Se os encontra, acrescenta a eles código JavaScript malicioso.

Ele também usa um script em lote do Windows para alterar discretamente o último commit, fazendo parecer que a mudança foi feita pelo autor original.

Há suspeita de que ferramentas semelhantes estejam sendo usadas para reescrever o histórico do Git em outros sistemas operacionais, como Linux e macOS.

“A tática central permanece a mesma em toda a campanha: os atores de ameaça inserem loaders JavaScript ofuscados em repositórios legítimos, ocultam o código com preenchimento de espaços em branco ou falsos arquivos de fonte .woff2 e disparam a execução por meio de ferramentas do desenvolvedor, como arquivos de tarefas do VS Code”, disse a Socket.

Na onda mais recente, o payload funciona como um loader de malware em JavaScript que consulta infraestrutura blockchain, incluindo serviços da TRON, Aptos e BNB Smart Chain, para obter um segundo payload criptografado que se descompacta em DEV#POPPER RAT e OmniStealer.

Essa cadeia de ataque foi detalhada pela eSentire em março de 2026.

“Os atores de ameaça usam a reescrita do histórico do Git, incluindo force pushes e commits com data retroativa, para fazer com que as mudanças maliciosas pareçam mais antigas e menos suspeitas”, disse Zanki.

“Isso torna a página inicial do GitHub e o histórico visível de commits indicadores pouco confiáveis de comprometimento; os defensores devem analisar os registros de atividade dos repositórios, os metadados de lançamento dos pacotes, a configuração das tarefas do VS Code e alterações suspeitas em arquivos de configuração.”

O avanço ocorre no momento em que a JFrog descobriu um cluster de pacotes npm ligado à Contagious Interview, alguns deles disfarçados de ferramentas polyfill do Rollup para permitir acesso remoto e roubo de dados.

No início da semana, outro conjunto de pacotes npm e Go foi identificado com tarefas de execução automática do VS Code para rodar payloads JavaScript disfarçados de falsos arquivos de fonte, indicando sobreposição tática entre Fake Font, TaskJacker e PolinRider.

Usuários que instalaram esses pacotes devem tratar o ambiente como comprometido, rotacionar segredos expostos a partir de uma máquina limpa, remover as versões afetadas e reconstruir o ambiente com base em um lockfile conhecido e confiável.

Também é necessário auditar estações de trabalho de desenvolvedores e repositórios em busca de caminhos ocultos de execução ou commits suspeitos que tenham alterado arquivos como `.vscode/tasks.json`, `config.js`, `vite.config.js` e `eslint.config.js`.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...