北朝鮮系のスレットアクター「Contagious Interview」に連なる「PolinRider」キャンペーンが、npm・Packagist・Go modules・Google Chrome の 4 系統に合計 108 種類の悪意パッケージ (162 リリース) を投下していたことが Socket などの調査で判明しました。既存メンテナ口座の乗っ取りが起点で、開発者が通常のバージョン更新を行うだけで感染するのが特徴です。

主なポイント

  • 内訳は npm 19 本・Composer/Packagist 10 本・Go modules 61 本・Chrome 拡張 1 本の計 108 個
  • 攻撃者は正規メンテナ口座を乗っ取り、既存パッケージにマルウェア入りアップデートを push
  • ローダは TRON・Aptos・BNB Smart Chain の RPC から暗号化された第 2 段ペイロードを取得、XOR 復号後に eval() で実行
  • 最終ペイロードは開発者から資格情報・ブラウザデータ・仮想通貨ウォレットを盗む DEV#POPPER と OmniStealer
  • 関連クラスタ「TaskJacker」と併走しており、4月11日時点で 1,047 アカウント・1,951 の公開 GitHub リポジトリが侵害を確認済み

出典: North Korean Hackers Publish 108 Malicious Packages and Extensions in PolinRider Campaign