Los actores de amenazas norcoreanos vinculados al Entrevista contagiosa Se ha observado que la campaña publica 108 paquetes únicos y extensiones de navegador web que abarcan npm, Packagist, Go y Google Chrome como parte de una actividad continua denominada PolinRider.
«La campaña permanece activa y es probable que sigan apareciendo nuevos paquetes maliciosos a medida que los actores de amenazas comprometan las cuentas de los mantenedores, modifiquen los repositorios legítimos y publiquen versiones de paquetes infectados donde retengan u obtengan acceso al registro», dijo Karlo Zanki, investigador de seguridad de Socket. dicho en un análisis publicado esta semana.
El 162 artefactos de liberación maliciosos abarcan múltiples versiones correspondientes a 108 paquetes y extensiones únicos, incluidas 19 bibliotecas npm, 10 paquetes Composer, 61 módulos Go y una extensión de Google Chrome.
Entrevista Contagiosa es el apodo asignado a una campaña alineada con Corea del Norte que arma contratación de trabajo para apuntar a desarrolladores de software e individuos que trabajan en los sectores de criptomonedas, utilizando entrevistas de trabajo y evaluaciones persuasivas para engañarlos para que ejecuten código malicioso.
Se sabe que la actividad está activa desde al menos 2023. Atacantes mascarada como reclutadores o colaboradores en plataformas como LinkedIn, GitHub o sitios web independientes, a menudo configurando empresas fachada elaboradas y perfiles de empleados generados por IA para generar confianza y, en última instancia, distribuir malware.
PolinRider fue primero marcado por el equipo de OpenSourceMalware en marzo de 2026, y lo describió como que los actores de amenazas implantaban cargas útiles maliciosas de JavaScript ofuscadas en cientos de repositorios públicos de GitHub que pertenecen a varios propietarios únicos para entregar una nueva variante de BeaverTail, un conocido malware de JavaScript asociado con Contagious Interview.
Hasta el 11 de abril de 2026, la actividad comprometió 1951 repositorios públicos de GitHub asociados con 1047 propietarios únicos, al mismo tiempo que se fusionó con otro clúster llamado TaskJacker que coloca archivos de tareas VS Code maliciosos en los repositorios existentes de los usuarios de GitHub. Las tareas de VS Code incluyen la opción «runOn: 'folderOpen'» para activar la ejecución de código arbitrario cuando la carpeta se abre como una carpeta de espacio de trabajo en un IDE como VS Code o Cursor.
«El actor de la amenaza no está utilizando credenciales de GitHub robadas», dijo OpenSourceMalware. «En cambio, las víctimas han sido comprometidas a través de una extensión VS Code maliciosa o un paquete npm». Se cree que los atacantes se están apoderando de las cuentas de mantenimiento, probablemente mediante la adquisición de dominios vencidos u otra ruta de recuperación de cuentas, para llevar a cabo el plan.
Una vez ejecutado, el malware busca en la computadora infectada ciertos archivos como «postcss.config.mjs», «tailwind.config.js», «eslint.config.mjs», next.config.mjs», babel.config.js» y «app.js» y, si los encuentra, les agrega código JavaScript malicioso.
También utiliza un script por lotes de Windows para modificar sigilosamente la última confirmación, haciendo que parezca como si hubiera sido realizada por el autor original. Se sospecha que se están utilizando herramientas similares para reescribir el historial de Git para otros sistemas operativos como Linux y macOS.
«El oficio principal sigue siendo consistente en toda la campaña: los actores de amenazas colocan cargadores de JavaScript ofuscados en repositorios legítimos, ocultan el código a través de espacios en blanco o archivos de fuentes .woff2 falsos y activan la ejecución a través de herramientas de desarrollo como archivos de tareas VS Code», dijo Socket.
En la última ola, la carga útil funciona como un cargador de malware JavaScript que llega a la infraestructura blockchain, incluidos los servicios TRON, Aptos y BNB Smart Chain, para recuperar una carga útil cifrada de segunda etapa que se descomprime en DEV#POPPER RAT y OmniStealer. Esta cadena de ataque fue detallada por eSentire en marzo de 2026.
«Los actores de amenazas utilizan la reescritura del historial de Git, incluidos forzados y compromisos antifechados para hacer que los cambios maliciosos parezcan más antiguos y menos sospechosos», dijo Zanki. «Esto hace que la página de inicio de GitHub y el historial de confirmaciones visibles sean indicadores poco confiables de compromiso; los defensores deben revisar los registros de actividad del repositorio, los metadatos de lanzamiento de paquetes, la configuración de tareas de VS Code y los cambios sospechosos en los archivos de configuración».
El desarrollo se produce cuando JFrog descubrió un grupo de paquetes npm vinculados a Contagious Interview, algunos de los cuales se hacían pasar por herramientas Rollup polyfill para permitir el acceso remoto y el robo de datos. A principios de esta semana, se identificó que otro conjunto de paquetes npm y paquetes Go incorporaban tareas de ejecución automática de VS Code para ejecutar cargas útiles de JavaScript disfrazadas de archivos de fuentes falsos, lo que indica superposiciones tácticas entre Fake Font, TaskJacker y PolinRider.
Los usuarios que hayan instalado estos paquetes deben tratar el entorno como si estuviera comprometido, rotar los secretos expuestos de una máquina limpia, eliminar las versiones afectadas y reconstruir a partir de un archivo de bloqueo en buen estado, y auditar las estaciones de trabajo y los repositorios de los desarrolladores en busca de rutas de ejecución ocultas o confirmaciones sospechosas que hayan modificado los archivos «.vscode/tasks.json», «config.js», «vite.config.js» y «eslint.config.js».




