PolinRider-Kampagne: 108 bösartige Pakete in npm und Go Modules
Veröffentlicht: 04.07.2026 um 17:26 Uhr, Redaktion boerse-global.de
Mehr als 100 Schadpakete in Entwickler-Plattformen entdeckt – Angreifer stehlen Zugangsdaten und schleusen Hintertüren ein.
Nordkoreanische Hackergruppen haben ihre Angriffe auf die globale Software-Lieferkette massiv ausgeweitet. Sicherheitsforscher der Firmen Socket und JFrog identifizierten eine als PolinRider bekannte Kampagne, die über manipulierte Code-Pakete in gängigen Entwickler-Repositories Zugangsdaten stiehlt und Fernzugriff auf Systeme ermöglicht. Die Operation wird mit berüchtigten Gruppen wie der Lazarus Group sowie den als Contagious Interview und Famous Chollima bekannten Kollektiven in Verbindung gebracht.
108 schädliche Pakete in mehreren Plattformen
Die Angreifer haben ihre Netze weit ausgeworfen: Insgesamt 108 bösartige Pakete und 162 schädliche Release-Artefakte wurden in den Paketregistern npm, Packagist und Go Modules sowie im Chrome Web Store entdeckt. Die Verteilung zeigt eine klare Schwerpunktsetzung: 80 Go-Module, rund 19 npm-Pakete, zehn Packagist-Pakete für PHP sowie mindestens eine manipulierte Chrome-Erweiterung.
Die Auswirkungen auf die Open-Source-Gemeinschaft sind enorm. Bereits Mitte April 2026 waren 1.951 GitHub-Repositories von 1.047 verschiedenen Eigentümern kompromittiert. Die Sicherheitsanalysten entdeckten die Aktivitäten erstmals im März 2026. Die Taktik der Hacker: Sie übernehmen legitime Maintainer-Konten, schleusen Schadcode ein oder manipulieren die Git-Historie, um ihre Spuren zu verwischen.
Gefälschte Entwickler-Tools als Einfallstor
Ein besonders perfider Zweig der Kampagne zielt auf Entwickler ab, die das Rollup-Build-Tool nutzen. Die Lazarus Group veröffentlichte sechs manipulierte npm-Pakete mit Namen wie rollup-packages-polyfill-core und rollup-runtime-polyfill-core. Diese tarnen sich als legitime Polyfill-Erweiterungen, sind aber Teil einer ausgeklügelten, vierstufigen Angriffskette:
- Erste Stufe: Der Angriff startet bereits beim Import des Pakets – und umgeht damit Sicherheitsfunktionen bestimmter npm-Versionen.
- Zweite Stufe: Ein Base64-codierter Befehl installiert weitere Pakete wie
swift-parse-streamoderquirky-token, die als harmlose SVG-Hilfsprogramme getarnt sind. - Dritte Stufe: Diese Pakete laden eine JSON-Datei von externen Diensten wie JSONKeeper nach.
- Vierte Stufe: Eine AES-256-CBC-verschlüsselte Datei wird von einer entfernten IP-Adresse abgerufen und führt den finalen Schadcode aus.
Wer die 108 entdeckten Schadpakete in npm und Go Modules für die eigene Entwicklungsumgebung bewerten will, findet in diesem Report die wichtigsten Prüfschritte – von der Analyse der Paketquellen bis zur Erkennung von VS-Code-Hintertüren. Jetzt kostenlosen Sicherheits-Report anfordern
VS-Code-Konfiguration als Hintertür
Die Angreifer setzen auf hochentwickelte Methoden, um unentdeckt zu bleiben. Neben der Nachahmung legitimer Tools nutzen sie auch Visual Studio Code als Einfallstor. Indem sie schädliche Anweisungen in den runOn-Ordner der Projektkonfiguration legen, wird der Code sofort ausgeführt, sobald ein Entwickler das kompromittierte Projekt in seinem Editor öffnet.
Für die Kommunikation mit den kontrollierten Systemen setzt die Kampagne auf Blockchain-Infrastruktur – konkret die Netzwerke TRON, BNB Smart Chain und Aptos. Diese dezentrale Anbindung macht es für traditionelle Sicherheitslösungen deutlich schwerer, den Datenverkehr zu blockieren.
Gestohlene Daten: Von KI-Schlüsseln bis zu Krypto-Wallets
Die über die Lieferketten-Angriffe verteilte Malware umfasst die Trojaner BeaverTail und DEV#POPPER sowie den Datendieb OmniStealer. Die Schadsoftware zielt gezielt auf entwicklerrelevante Daten ab:
Entwickler, die bereits ungewöhnliche Netzwerkaktivitäten oder unautorisierte Änderungen an Projektkonfigurationen beobachten, brauchen jetzt einen klaren Fahrplan zur Bereinigung – bevor die nächste Angriffswelle über Blockchain-gesteuerte C&C-Server startet. Dieser Leitfaden liefert konkrete Tools und Auditschritte. Supply-Chain-Audit jetzt sichern
- Cloud-Zugangsdaten für AWS, Azure und Google Cloud
- API-Schlüssel für KI-Dienste wie Google Gemini und Anthropic Claude
- SSH-Schlüssel und GitHub-Tokens
- Kryptowährungs-Wallets und Browser-Daten
- Konfigurationsdateien für Entwicklungsumgebungen wie VS Code und Cursor
Die entdeckten Schadpakete wurden mittlerweile an die Betreiber der jeweiligen Paketregister gemeldet und aus dem öffentlichen Zugriff entfernt. Sicherheitsexperten raten Entwicklern, Polyfill-Tools besonders sorgfältig zu prüfen und ungewöhnliche Netzwerkaktivitäten oder unautorisierte Änderungen an Projektkonfigurationen im Auge zu behalten.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
