Er is waargenomen dat de Noord-Koreaanse bedreigingsactoren die verband houden met de Contagious Interview-campagne 108 unieke pakketten en webbrowser-extensies publiceren, waaronder npm, Packagist, Go en Google Chrome, als onderdeel van een voortdurende activiteit die bekend staat als PolinRider.
“De campagne blijft actief en nieuwe kwaadaardige pakketten zullen waarschijnlijk blijven verschijnen omdat bedreigingsactoren de accounts van beheerders compromitteren, legitieme opslagplaatsen wijzigen en geïnfecteerde pakketversies publiceren waar ze toegang tot het register behouden of verkrijgen”, zei Socket-beveiligingsonderzoeker Karlo Zanki in een analyse die deze week werd gepubliceerd.
De 162 schadelijke release-artefacten omvatten meerdere releaseversies die overeenkomen met 108 unieke pakketten en extensies, waaronder 19 npm-bibliotheken, 10 Composer-pakketten, 61 Go-modules en één Google Chrome-extensie.
Contagious Interview is de naam die is toegekend aan een op Noord-Korea gerichte campagne die het werven van banen bewapent om zich te richten op softwareontwikkelaars en individuen die in de cryptocurrency-sectoren werken, met behulp van overtuigende sollicitatiegesprekken en assessments om hen te misleiden tot het uitvoeren van kwaadaardige code.
Het is bekend dat deze activiteit al sinds 2023 actief is. Aanvallers doen zich voor als recruiters of medewerkers op platforms als LinkedIn, GitHub of freelancewebsites, waarbij ze vaak uitgebreide dekmantelbedrijven en door AI gegenereerde werknemersprofielen opzetten om vertrouwen op te bouwen en uiteindelijk malware af te leveren.
PolinRider werd voor het eerst opgemerkt door het OpenSourceMalware-team in maart 2026 en beschreef het als een betrokkenheid van de bedreigingsactoren die kwaadaardige versluierde JavaScript-payloads implanteerden in honderden openbare GitHub-opslagplaatsen van verschillende unieke eigenaren om een nieuwe variant van BeaverTail te leveren, een bekende JavaScript-malware geassocieerd met Contagious Interview.
Vanaf 11 april 2026 heeft de activiteit 1.951 openbare GitHub-repository’s gecompromitteerd die zijn gekoppeld aan 1.047 unieke eigenaren, terwijl ze ook zijn samengevoegd met een ander cluster genaamd TaskJacker dat kwaadaardige VS Code-taakbestanden in de bestaande repository’s van GitHub-gebruikers plaatst. De VS Code-taken omvatten de optie “runOn: ‘folderOpen'” om de uitvoering van willekeurige code te activeren wanneer de map wordt geopend als een werkruimtemap in een IDE zoals VS Code of Cursor.
“De bedreigingsacteur maakt geen gebruik van gestolen GitHub-inloggegevens”, aldus OpenSourceMalware. “In plaats daarvan zijn de slachtoffers gecompromitteerd via een kwaadaardige VS Code-extensie of npm-pakket.” Er wordt aangenomen dat de aanvallers beheerdersaccounts overnemen, waarschijnlijk via de overname van verlopen domeinen of een ander pad voor accountherstel, om het plan te voltooien.
Eenmaal uitgevoerd, doorzoekt de malware de geïnfecteerde computer naar bepaalde bestanden zoals “postcss.config.mjs”, “tailwind.config.js”, “eslint.config.mjs”, next.config.mjs”, babel.config.js” en “app.js”, en, indien gevonden, voegt hij er kwaadaardige JavaScript-code aan toe.
Het maakt ook gebruik van een Windows batchscript om de laatste commits heimelijk te wijzigen, terwijl het lijkt alsof ze door de oorspronkelijke auteur zijn gemaakt. Het vermoeden bestaat dat vergelijkbare tools worden gebruikt om de Git-geschiedenis te herschrijven voor andere besturingssystemen zoals Linux en macOS.
“Het kernvak blijft consistent in de hele campagne: bedreigingsactoren plaatsen versluierde JavaScript-laders in legitieme repository’s, verbergen de code via opvulling van witruimte of valse .woff2-lettertypebestanden, en activeren de uitvoering via ontwikkelaarstools zoals VS Code-taakbestanden”, aldus Socket.
In de laatste golf functioneert de payload als een JavaScript-malwarelader die verbinding maakt met de blockchain-infrastructuur, waaronder TRON, Aptos en BNB Smart Chain-services, om een gecodeerde tweede fase-payload op te halen die wordt uitgepakt naar DEV#POPPER RAT en OmniStealer. Deze aanvalsketen werd in maart 2026 door eSentire gedetailleerd.
“De bedreigingsactoren gebruiken het herschrijven van de geschiedenis van Git, inclusief force pushes en anti-gedateerde commits, om kwaadaardige veranderingen ouder en minder verdacht te laten lijken,” zei Zanki. “Dit maakt de GitHub-landingspagina en de zichtbare commit-geschiedenis onbetrouwbare indicatoren van compromissen; verdedigers moeten repository-activiteitenlogboeken, metagegevens van pakketreleases, VS Code-taakconfiguratie en verdachte wijzigingen in configuratiebestanden bekijken.”
De ontwikkeling komt op het moment dat JFrog een cluster van npm-pakketten ontdekte die waren gekoppeld aan Contagious Interview, waarvan sommige zich voordeden als Rollup polyfill-tools om externe toegang en gegevensdiefstal mogelijk te maken. Eerder deze week werd vastgesteld dat een andere reeks npm-pakketten en Go-pakketten VS Code auto-run taken bevatten om JavaScript-payloads uit te voeren, vermomd als nep-lettertypebestanden, wat wijst op tactische overlappingen tussen Fake Font, TaskJacker en PolinRider.
Gebruikers die deze pakketten hebben geïnstalleerd, moeten de omgeving als gecompromitteerd beschouwen, blootgestelde geheimen van een schone machine roteren, getroffen versies verwijderen en opnieuw opbouwen vanaf een bekend goed lockbestand, en werkstations en opslagplaatsen van ontwikkelaars controleren op verborgen uitvoeringspaden of verdachte commits die de bestanden “.vscode/tasks.json”, “config.js”, “vite.config.js” en “eslint.config.js” hebben gewijzigd.