Kuzey Koreli tehdit aktörleri, Contagious Interview kampanyasıyla bağlantılı olarak PolinRider adı verilen devam eden bir faaliyet kapsamında npm, Packagist, Go ve Google Chrome'u kapsayan 108 benzersiz paket ve web tarayıcı uzantısı yayınladı. Socket güvenlik araştırmacısı Karlo Zanki, kampanyanın halen aktif olduğunu ve tehdit aktörlerinin bakıcı hesaplarını ele geçirerek, meşru depoları değiştirerek ve kayıt defteri erişimini korudukları veya elde ettikleri enfekte paket sürümlerini yayınlayarak yeni zararlı paketlerin ortaya çıkmaya devam edeceğini belirtti.
162 zararlı yayın yapıtı, 108 benzersiz paket ve uzantıya karşılık gelen birden çok sürümü kapsıyor; bunlar arasında 19 npm kitaplığı, 10 Composer paketi, 61 Go modülü ve bir Google Chrome uzantısı bulunuyor. Contagious Interview, Kuzey Kore uyumlu bir kampanya olup, işe alım sürecini silah haline getirerek yazılım geliştiricileri ve kripto para sektöründe çalışanları hedef alıyor; ikna edici iş görüşmeleri ve değerlendirmeleri kullanarak onları kötü amaçlı kod çalıştırmaya kandırıyor.
PolinRider ilk olarak Mart 2026'da OpenSourceMalware ekibi tarafından tespit edildi ve tehdit aktörlerinin, Contagious Interview ile ilişkili BeaverTail adlı JavaScript kötü amaçlı yazılımının yeni bir varyantını dağıtmak için yüzlerce genel GitHub deposuna kötü amaçlı gizlenmiş JavaScript yükleri yerleştirdiği belirtildi. 11 Nisan 2026 itibarıyla, faaliyet 1.047 benzersiz sahibe ait 1.951 genel GitHub deposunu tehlikeye atmış durumda; ayrıca TaskJacker adlı başka bir kümeyle birleşerek GitHub kullanıcılarının mevcut depolarına kötü amaçlı VS Code görev dosyaları yerleştiriyor.
Nasıl Önlem Alınmalı?
Son dalgada, yük, TRON, Aptos ve BNB Smart Chain gibi blok zinciri altyapılarına erişerek şifrelenmiş ikinci aşama yükü getiren bir JavaScript kötü amaçlı yazılım yükleyicisi olarak işlev görüyor; bu yük DEV#POPPER RAT ve OmniStealer'ı açıyor. Araştırmacılar, tehdit aktörlerinin Git geçmişini yeniden yazarak, kötü niyetli değişikliklerin daha eski ve daha az şüpheli görünmesini sağladığını vurguluyor. Kullanıcıların bu paketleri yükledikten sonra ortamı tehlikeye atılmış olarak değerlendirmeleri, sırları temiz bir makineden döndürmeleri ve geliştirici iş istasyonlarını gizli yürütme yollarına karşı denetlemeleri öneriliyor.