Les chercheurs en cybersécurité ont mis au jour une nouvelle phase de la campagne PolinRider, menée par des pirates nord-coréens affiliés au groupe Lazarus et à l'activité Contagious Interview. Selon les analyses, 108 paquets et extensions uniques ont été publiés sur plusieurs plateformes de développement, avec un total de 162 versions malveillantes recensées. Les écosystèmes touchés incluent Go, npm, Packagist (PHP), ainsi que des extensions pour le navigateur Chrome.

Une compromission à partir de comptes GitHub légitimes La méthode employée par les attaquants consiste à prendre le contrôle de comptes GitHub légitimes, puis à injecter un chargeur JavaScript obfusqué dans des fichiers de configuration, des polices factices au format .woff2 ou des déclencheurs .vscode/tasks.json. Ces payloads utilisent ensuite des adresses blockchain comme points de chute pour télécharger un outil de vol Lazarus. Les chercheurs notent que les chiffres exacts varient selon les investigations : les modules Go compromis sont estimés entre 61 et plus de 80, et le nombre d'extensions Chrome oscille entre une et deux.

Une propagation automatique dans certains écosystèmes La particularité de cette campagne réside dans la manière dont certains gestionnaires de paquets sont architecturés. Pour Go et Packagist, le registre ne stocke pas d'artefact distinct : il résout directement le code à partir du dépôt Git d'origine. Ainsi, dès qu'un attaquant pousse un commit malveillant sur un dépôt GitHub compromis, ce contenu devient automatiquement la version publiée du module ou du paquet. Aucun jeton de publication supplémentaire n'est nécessaire, contrairement à npm ou PyPI. Cette caractéristique permet à PolinRider d'étendre son emprise sans effort supplémentaire.

Une campagne en pleine expansion PolinRider avait été initialement identifiée plus tôt en 2026, avec 675 dépôts GitHub contaminés, puis 1 951 dépôts appartenant à plus d'un millier de propriétaires. La transition vers les registres de paquets marque une escalade significative, car elle permet d'infecter un bien plus grand nombre de développeurs. Les paquets malveillants sont distribués via le flux normal d'installation (go get, composer require, npm install), ce qui rend leur détection plus difficile pour les utilisateurs.

Conséquences et recommandations Les chercheurs de Socket et d'OpenSourceMalware soulignent que cette attaque cible avant tout les développeurs, notamment lors d'entretiens d'embauche fictifs où une victime est incitée à installer une extension VS Code ou une bibliothèque piégée. Une fois le code malveillant exécuté, les identifiants et autres données sensibles sont exfiltrés. Les experts recommandent aux développeurs de vérifier régulièrement l'intégrité de leurs dépôts, de surveiller les commits suspects dans l'historique Git et d'utiliser des outils d'analyse de dépendances capables de détecter les modifications non autorisées.