Kuzey Koreli Hackerlar PolinRider Kampanyasında 108 Kötü Amaçlı Paket ve Uzantı Yayımladı Yazılım

Kuzey Koreli Hackerlar PolinRider Kampanyasında 108 Kötü Amaçlı Paket ve Uzantı Yayımladı

Bulaşıcı Röportaj kampanyasıyla bağlantılı Kuzey Koreli tehdit aktörlerinin, PolinRider adı verilen devam eden bir faaliyetin parçası olarak npm, Pack...

Bulaşıcı Röportaj kampanyasıyla bağlantılı Kuzey Koreli tehdit aktörlerinin, PolinRider adı verilen devam eden bir faaliyetin parçası olarak npm, Packagist, Go ve Google Chrome'u kapsayan 108 benzersiz paket ve web tarayıcı uzantısı yayınladığı gözlemlendi.

Soket güvenlik araştırmacısı Karlo Zanki, bu hafta yayınlanan bir analizde, "Kampanya aktif olmaya devam ediyor ve tehdit aktörleri bakımcı hesaplarını ele geçirdikçe, yasal depoları değiştirdikçe ve kayıt defteri erişimini korudukları veya elde ettikleri virüslü paket sürümlerini yayınladıkça yeni kötü amaçlı paketler muhtemelen görünmeye devam edecek" dedi.

162 kötü amaçlı yayın yapısı, 19 npm kitaplığı, 10 Composer paketi, 61 Go modülü ve bir Google Chrome uzantısı dahil olmak üzere 108 benzersiz paket ve uzantıya karşılık gelen birden fazla sürüm sürümünü kapsıyor.

Bulaşıcı Röportaj, yazılım geliştiricileri ve kripto para sektöründe çalışan bireyleri hedeflemek için işe alım silahını kullanan, onları kötü amaçlı kod çalıştırmaları için kandırmak amacıyla ikna edici iş görüşmeleri ve değerlendirmeler kullanan Kuzey Kore uyumlu bir kampanyaya atanan takma addır.

Detaylar ve Etkileri

Etkinliğin en az 2023'ten bu yana aktif olduğu biliniyor. Saldırganlar, LinkedIn, GitHub gibi platformlarda veya serbest çalışan web sitelerinde işe alım görevlileri veya işbirlikçi kılığına giriyor; güven oluşturmak ve sonuçta kötü amaçlı yazılım dağıtmak için genellikle ayrıntılı paravan şirketler ve yapay zeka tarafından oluşturulan çalışan profilleri kuruyor.

PolinRider, ilk olarak Mart 2026'da OpenSourceMalware ekibi tarafından işaretlendi ve bunun, Bulaşıcı Röportaj ile ilişkili olduğu bilinen bir JavaScript kötü amaçlı yazılımı olan BeaverTail'in yeni bir versiyonunu sunmak için çeşitli benzersiz sahiplere ait yüzlerce halka açık GitHub deposuna kötü niyetli, gizlenmiş JavaScript yükleri yerleştiren tehdit aktörleri olduğu belirtildi.

11 Nisan 2026 itibarıyla etkinlik, 1.047 benzersiz sahiple ilişkilendirilen 1.951 genel GitHub deposunun güvenliğini ihlal etti ve aynı zamanda kötü amaçlı VS Code görev dosyalarını GitHub kullanıcılarının mevcut depolarına bırakan TaskJacker adlı başka bir kümeyle birleşti. VS Code görevleri, klasör VS Code veya Cursor gibi bir IDE'de bir çalışma alanı klasörü olarak açıldığında isteğe bağlı kodun yürütülmesini tetiklemek için "runOn: 'folderOpen'" seçeneğini içerir.

Teknik Analiz

OpenSourceMalware, "Tehdit aktörü çalıntı GitHub kimlik bilgilerini kullanmıyor" dedi. "Bunun yerine, kurbanların güvenliği kötü amaçlı bir VS Code uzantısı veya npm paketi yoluyla ele geçirildi." Saldırganların, planı gerçekleştirmek için muhtemelen süresi dolmuş alan adını devralma veya başka bir hesap kurtarma yolu yoluyla bakımcı hesaplarını ele geçirdiğine inanılıyor.

Kötü amaçlı yazılım yürütüldükten sonra, virüslü bilgisayarda "postcss.config.mjs", "tailwind.config.js", "eslint.config.mjs", next.config.mjs," babel.config.js" ve "app.js" gibi belirli dosyaları arar ve bulunursa, bunlara kötü amaçlı JavaScript kodu ekler.

Ayrıca, son işlemeyi gizlice değiştirmek ve orijinal yazar tarafından yapılmış gibi görünmesini sağlamak için bir Windows toplu komut dosyasından yararlanır. Linux ve macOS gibi diğer işletim sistemleri için Git geçmişini yeniden yazmak amacıyla benzer araçların kullanıldığından şüpheleniliyor.

Socket, "Temel ticari yaklaşım kampanya boyunca tutarlı kalıyor: Tehdit aktörleri, gizlenmiş JavaScript yükleyicilerini meşru depolara yerleştiriyor, boşluk doldurma veya sahte .woff2 yazı tipi dosyaları aracılığıyla kodu gizliyor ve VS Code görev dosyaları gibi geliştirici araçları aracılığıyla yürütmeyi tetikliyor" dedi.

En son dalgada yük, DEV#POPPER RAT ve OmniStealer'a açılan şifreli ikinci aşama yükünü getirmek için TRON, Aptos ve BNB Akıllı Zincir hizmetleri de dahil olmak üzere blockchain altyapısına ulaşan bir JavaScript kötü amaçlı yazılım yükleyicisi olarak işlev görüyor. Bu saldırı zinciri Mart 2026'da eSentire tarafından ayrıntılı olarak açıklandı.

Zanki, "Tehdit aktörleri, kötü amaçlı değişikliklerin daha eski ve daha az şüpheli görünmesini sağlamak için, zorla göndermeler ve tarihli olmayan taahhütler de dahil olmak üzere Git geçmişini yeniden yazmayı kullanıyor." dedi. "Bu, GitHub açılış sayfasını ve görünür taahhüt geçmişini güvenilmez risk göstergeleri haline getiriyor; savunucular depo etkinlik günlüklerini, paket yayın meta verilerini, VS Kodu görev yapılandırmasını ve yapılandırma dosyalarındaki şüpheli değişiklikleri incelemelidir."

Nasıl Önlem Alınmalı?

Bu gelişme, JFrog'un Contagious Interview ile bağlantılı bir dizi npm paketini ortaya çıkarmasıyla ortaya çıktı; bunlardan bazıları, uzaktan erişim ve veri hırsızlığını mümkün kılmak için Toplu çoklu doldurma araçları olarak gizlendi. Bu haftanın başlarında, başka bir npm paketi ve Go paketi grubunun, sahte yazı tipi dosyaları olarak gizlenen JavaScript verilerini çalıştırmak için VS Code otomatik çalıştırma görevlerini içerdiği ve bu görevlerin taktiksel bir amaç olduğunu belirttiği belirlendi. Fake Font, TaskJacker ve PolinRider arasındaki örtüşmeler.

Bu paketleri yükleyen kullanıcılar, ortamı tehlikeye atılmış olarak değerlendirmeli, açığa çıkan sırları temiz bir makineden döndürmeli, etkilenen sürümleri kaldırmalı ve bilinen iyi bir kilit dosyasından yeniden oluşturmalı ve ".vscode/tasks.json", "config.js", "vite.config.js" ve "eslint.config.js" dosyalarını değiştiren gizli yürütme yolları veya şüpheli kayıtlar için geliştirici iş istasyonlarını ve depolarını denetlemelidir.

Paylaş: