
Se ha observado que los actores de amenazas norcoreanos asociados con la campaña Contagious Interview publican 108 paquetes propietarios y extensiones de navegador web en npm, Packagist, Go y Google Chrome como parte de una operación en curso llamada PolinRider.
«La campaña permanece activa y es probable que sigan surgiendo nuevos paquetes maliciosos a medida que los actores de amenazas comprometan las cuentas de los mantenedores, desfiguren los repositorios legítimos y publiquen versiones de paquetes infectados que retengan o obtengan acceso a los registros», dijo el investigador de seguridad de socket Carlo Zanchi en un análisis publicado esta semana.
Los 162 artefactos maliciosos abarcan múltiples versiones correspondientes a 108 paquetes y extensiones únicos, incluidas 19 bibliotecas npm, 10 paquetes Composer, 61 módulos Go y 1 extensión de Google Chrome.
“Entrevista de contagio” es el apodo que se le da a una campaña alineada con Corea del Norte que se dirige a desarrolladores de software e individuos que trabajan en el campo de las criptomonedas, utilizando el reclutamiento laboral como arma y entrevistas y evaluaciones persuasivas para engañarlos para que ejecuten código malicioso.
Se sabe que esta actividad ha estado activa desde al menos 2023. Los atacantes se hacen pasar por reclutadores o colaboradores en plataformas como LinkedIn, GitHub o sitios web independientes, a menudo creando sofisticadas empresas fachada o perfiles de empleados generados por IA para generar confianza y, en última instancia, distribuir malware.
PolinRider fue informado por primera vez por el equipo de OpenSourceMalware en marzo de 2026 y se describió que involucraba a actores de amenazas que incorporaban cargas útiles maliciosas de JavaScript ofuscadas en cientos de repositorios públicos de GitHub que pertenecen a varios propietarios únicos para entregar una nueva variante de BeaverTail, un conocido malware de JavaScript asociado con Infect Interview.
A partir del 11 de abril de 2026, esta actividad comprometió 1951 repositorios públicos de GitHub asociados con 1047 propietarios únicos, al mismo tiempo que se fusionaba en otro clúster llamado TaskJacker, que colocaba archivos de tareas VS Code maliciosos en los repositorios existentes de los usuarios de GitHub. Las tareas de VS Code incluyen una opción «runOn: ‘folderOpen'» que desencadena la ejecución de código arbitrario cuando se abre una carpeta como una carpeta de espacio de trabajo en un IDE como VS Code o Cursor.
«Los atacantes no utilizaron credenciales de GitHub robadas», dijo OpenSourceMalware. «En cambio, la víctima se ve comprometida a través de una extensión VS Code maliciosa o un paquete npm». Para llevar a cabo este plan, se cree que los atacantes se apoderaron de la cuenta del mantenedor, posiblemente mediante la adquisición de un dominio caducado u otra ruta de recuperación de la cuenta.
Una vez ejecutado, el malware busca en la computadora infectada archivos específicos como ‘postcss.config.mjs’, ‘tailwind.config.js’, ‘eslint.config.mjs’, ‘next.config.mjs’, ‘babel.config.js’ y ‘app.js’ y agrega código JavaScript malicioso a esos archivos si los encuentra.
También utilizan secuencias de comandos por lotes de Windows para cambiar de forma encubierta la última confirmación para que parezca como si hubiera sido escrita por el autor original. Se sospecha que se están utilizando herramientas similares para reescribir el historial de Git en otros sistemas operativos como Linux y macOS.
«La metodología central sigue siendo consistente en todas las campañas: los atacantes incorporan un cargador de JavaScript ofuscado en un repositorio legítimo, ocultan el código con espacios en blanco y archivos de fuentes .woff2 falsos, y activan la ejecución a través de herramientas de desarrollo como archivos de tareas VS Code», dijo Socket.
En la última ola, la carga útil actúa como un cargador de malware JavaScript que accede a la infraestructura blockchain como TRON, Aptos y los servicios de cadena inteligente BNB para recuperar la carga útil cifrada de la segunda etapa y descomprimirla en DEV#POPPER RAT y OmniStealer. Esta cadena de ataque fue detallada por eSentire en marzo de 2026.
«Los atacantes utilizan reescrituras del historial de Git, como forzar envíos y confirmaciones obsoletas, para hacer que los cambios maliciosos parezcan más antiguos y menos sospechosos», dijo Zanke. «Esto hace que la página de inicio de GitHub y el historial de confirmaciones visible sean un indicador poco confiable de un compromiso. Los defensores deben revisar los registros de actividad del repositorio, los metadatos de lanzamiento de paquetes, las configuraciones de tareas de VS Code y los cambios sospechosos en los archivos de configuración».
El desarrollo se produce después de que JFrog descubriera un grupo de paquetes npm vinculados a Contagious Interview, algunos de los cuales se hacían pasar por herramientas acumulativas de polyfill que permitían el acceso remoto y el robo de datos. A principios de esta semana, observamos que otro paquete npm y Go incluía una tarea de ejecución automática de VS Code para ejecutar una carga útil de JavaScript disfrazada de un archivo de fuente falso. Esto muestra que existe una superposición táctica entre Fake Font, TaskJacker y PolinRider.
Los usuarios que hayan instalado estos paquetes deben tratar su entorno como si estuviera comprometido, rotar los secretos expuestos de una máquina limpia, eliminar la versión afectada y reconstruirla a partir de un archivo de bloqueo en buen estado, reinstalar la estación de trabajo del desarrollador y reiniciar. Debe auditar su repositorio en busca de rutas de ejecución ocultas o confirmaciones sospechosas que modificaron los archivos .vscode/tasks.json, config.js, vite.config.js y eslint.config.js.
Source link
