PolinRider, Nordkorea

PolinRider: Nordkorea infiltriert 108 Pakete in Code-Registern

Veröffentlicht: 05.07.2026 um 10:55 Uhr, Redaktion boerse-global.de

Lazarus und APT37 infiltrieren Entwickler-Umgebungen mit über 100 Schadpaketen in populären Code-Registern.

Nordkoreanische Hacker attackieren Entwickler mit PolinRider
Ein stilisiertes, leuchtendes digitales Vorhängeschloss über einem komplexen Netzwerk aus Code und Server-Racks, das eine kompromittierte Lieferkette andeutet. Illustration mit AI erstellt übermittelt durch boerse-global.de

Sie zielt gezielt auf Software-Entwickler und deren Arbeitsumgebungen ab.

Die nordkoreanischen Hackergruppen Lazarus und APT37 stecken dahinter. Sie platzierten über 100 bösartige Pakete in populären Programmiersprachen-Registern und Web-Stores. Ziel: sensible Daten stehlen und dauerhaften Zugriff auf Entwicklungssysteme erhalten.

Umfangreiche Infiltration von Software-Registern

Insgesamt verteilten die Angreifer 108 schädliche Pakete und Erweiterungen über verschiedene Plattformen. Der Großteil entfällt mit 61 Paketen auf Go-Module. 19 npm-Pakete für JavaScript-Umgebungen folgen, dazu 10 Pakete für den PHP-Manager Packagist. Zudem identifizierten Forscher eine bösartige Erweiterung im Chrome Web Store.

Die Reichweite ist enorm. Bis Mitte April 2026 waren bereits 1.951 GitHub-Repositories infiltriert. Die Hacker kompromittieren bestehende Maintainer-Accounts oder überschreiben die Git-Historie. So verschleiern sie ihre bösartigen Änderungen in legitimen Projekten.

Die Operation hängt eng mit der Kampagne „Contagious Interview“ zusammen. Diese ist bereits seit 2023 aktiv.

Anzeige

Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen auf ihre digitale Infrastruktur – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book zur IT-Sicherheit jetzt sichern

Blockchain als Steuerungszentrale

PolinRider besticht durch komplexe Verschleierungsmethoden. Die Angreifer nutzen obfuskierte JavaScript-Loader, manipulierte Task-Dateien für Visual Studio Code und gefälschte Schriftart-Dateien im .woff2-Format.

Besonders raffiniert: Die Hacker verwenden Blockchain-Technologien für die Steuerung der infizierten Systeme. Die Netzwerke TRON, Aptos und BNB dienen als Command-and-Control-Kanäle. Das macht die Kommunikation schwer rückverfolgbar.

Als primäre Nutzlasten kommen verschiedene Schadprogramme zum Einsatz:

  • DEV#POPPER: Ein Remote-Access-Trojaner für Fernzugriff
  • OmniStealer: Spezialisiert auf Datendiebstahl
  • BeaverTail: Erntet Browser-Daten und Krypto-Wallets
Anzeige

Die Bedrohungslage durch neue Technologien wie KI und raffinierte Angriffsmethoden verschärft sich laufend für Unternehmer. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Sie jetzt kennen müssen, um Ihre Firma langfristig zu schützen. Gratis-Report zu Cyberrisiken und KI-Gesetzen herunterladen

Getarnt als Entwickler-Werkzeuge

Ende Juni 2026 beobachteten Experten spezifische Angriffe auf das npm-Ökosystem. Die Lazarus-Gruppe tarnte Schadsoftware als Polyfill-Pakete für das verbreitete Tool Rollup. Namen wie „rollup-packages-polyfill-core“ oder „swift-parse-stream“ täuschen legitime Erweiterungen vor.

Beim Import in ein Projekt führt der Code sofort seine Schadroutine aus. Die Module scannen Dateien, überwachen die Zwischenablage und extrahieren gezielt Informationen aus Browsern und digitalen Geldbörsen. Der Datentransfer erfolgt verschlüsselt an externe Server.

Experten raten Entwicklern zu erhöhter Wachsamkeit. Externe Abhängigkeiten sollten genau geprüft werden. Auch die regelmäßige Überprüfung von Repository-Konfigurationen ist Pflicht – besonders bei automatisierten Tasks und Erweiterungen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69694860 |