Kuzey Koreli Hackerlar PolinRider Kampanyasında 108 Zararlı Paket ve Uzantı Yayınladı

Anasayfa » Kuzey Koreli Hackerlar PolinRider Kampanyasında 108 Zararlı Paket ve Uzantı Yayınladı
Kuzey Koreli Hackerlar PolinRider Kampanyasında 108 Zararlı Paket ve Uzantı Yayınladı

Kuzey Kore kaynaklı hacker grubu, yazılım geliştiriciler ve kripto para sektöründe çalışanları hedef alan PolinRider adlı kampanya kapsamında npm, Packagist, Go modülleri ve Google Chrome uzantıları dahil olmak üzere toplam 108 benzersiz zararlı paket ve tarayıcı uzantısı yayınladı.

Saldırının Kapsamı ve Yöntemleri

Analizlere göre, kampanya halen aktif ve tehdit aktörleri, geliştirici hesaplarını ele geçirerek ya da meşru depoları değiştirerek kötü amaçlı paketlerin yeni sürümlerini yayımlamaya devam ediyor. Şu ana kadar tespit edilen 162 zararlı sürüm, 19 npm kütüphanesi, 10 Composer paketi, 61 Go modülü ve tek bir Chrome uzantısını kapsıyor.

PolinRider operasyonu, Contagious Interview adlı Kuzey Kore bağlantılı kampanyanın bir parçası. Bu kampanya, iş başvurusu ve değerlendirme süreçlerini kullanarak hedef kişileri kötü amaçlı kod çalıştırmaya ikna etmeye odaklanıyor. Hackerlar, LinkedIn, GitHub ve freelance platformlarda sahte işe alımcı veya işbirlikçi profilleriyle güven tesis edip, zararlı yazılımları yaymak için detaylı sahte şirketler ve yapay zekayla oluşturulmuş çalışan profilleri oluşturuyor.

GitHub Üzerindeki Etkiler ve Teknik Detaylar

PolinRider ilk kez Mart 2026’da OpenSourceMalware ekibi tarafından fark edildi. Tehdit aktörleri, BeaverTail adlı zararlı JavaScript varyantını birçok kamuya açık GitHub deposuna yerleştirerek saldırıyı genişlettiler. 11 Nisan 2026 itibarıyla 1.951 depo ve 1.047 farklı depo sahibi bu saldırıdan etkilenmiş durumda.

Ayrıca, TaskJacker adlı başka bir grup ile birleşerek, GitHub kullanıcılarının mevcut depolarına kötü amaçlı VS Code görev dosyaları ekliyorlar. Bu görevler, klasör açıldığında otomatik olarak zararlı kodların çalışmasına imkan tanıyor. İlginç olan, saldırganların doğrudan çalınmış GitHub kimlik bilgilerini kullanmak yerine, yöneticilerin hesaplarını domain devralma veya diğer hesap kurtarma yöntemleriyle ele geçirmeleri.

Malware ve Komut Dosyaları

Zararlı yazılım çalıştırıldığında, hedef bilgisayarda “postcss.config.mjs”, “tailwind.config.js” ve “eslint.config.mjs” gibi yapılandırma dosyalarını arıyor. Bulduğu dosyalara kötü amaçlı JavaScript kodları ekleyerek meşru dosyaları zehirliyor. Windows batch dosyalarıyla son commit’leri gizlice değiştirirken, değişikliklerin orijinal yazar tarafından yapılmış gibi görünmesini sağlıyorlar. Benzer tekniklerin Linux ve macOS sistemlerinde de kullanıldığı şüpheleniliyor.

Kampanya boyunca kullanılan temel yöntem, meşru depolara karışık ve gizlenmiş JavaScript yükleyiciler yerleştirmek; kodu boşluklarla veya sahte .woff2 font dosyalarıyla kamufle etmek; ardından VS Code görev dosyaları yoluyla zararlı kodun tetiklenmesini sağlamak.

İkinci Aşama ve Zincirin Devamı

Son dalgada, zararlı yükleyici blockchain altyapılarına (TRON, Aptos, BNB Smart Chain gibi) bağlanarak şifrelenmiş ikinci aşama payload’u indiriyor. Bu payload, DEV#POPPER RAT ve OmniStealer adlı tehdit yazılımlarını içeriyor. Mart 2026’da eSentire tarafından detaylandırılan bu saldırı zinciri, özellikle geliştirici ortamlarını hedef alıyor.

Analiz ve Savunma Önerileri

Saldırganlar, Git geçmişini zorla yeniden yazarak kötü amaçlı değişikliklerin daha eski ve masum görünmesini sağlıyorlar. Bu yüzden GitHub sayfasındaki commit geçmişi yanıltıcı olabiliyor. Güvenlik ekiplerinin depo aktivite loglarını, paket sürüm metadata’sını, VS Code görev dosyalarını ve yapılandırma dosyalarındaki şüpheli değişiklikleri dikkatle kontrol etmesi gerekiyor.

JFrog tarafından yapılan son incelemede, bazı npm paketlerinin uzaktan erişim ve veri hırsızlığı için Rollup polyfill araçları gibi görünerek dağıtıldığı ortaya çıktı. Ayrıca, npm ve Go paketlerinde sahte font dosyaları maskesi altında otomatik çalışan VS Code görevleri kullanılarak PolinRider, TaskJacker ve Fake Font kampanyaları arasında taktiksel benzerlikler gözlemlendi.

Kurumsal Güvenlik ve Öneriler

Bu tür saldırılara karşı kurumlar, ortamlarını potansiyel olarak ele geçirilmiş kabul etmeli; sızıntıya uğramış gizli anahtarları temiz bir cihazda değiştirmeli, etkilenen paket sürümlerini kaldırıp güvenilir kilit dosyalarından yeniden kurulum yapmalı. Geliştirici iş istasyonları ve depolar, gizli çalıştırma yolları ve şüpheli commitler açısından düzenli olarak denetlenmeli. Özellikle “.vscode/tasks.json”, “config.js” ve “eslint.config.js” gibi yapılandırma dosyalarına dikkat etmek gerekiyor.

PolinRider kampanyası, yazılım tedarik zinciri saldırılarının ne kadar karmaşık ve sinsi hale geldiğini gösteriyor. Özellikle açık kaynak kod kullanan kurumlar için güvenlik katmanlarını artırmak, IAM politikalarını güçlendirmek ve SIEM ile olay müdahale yetkinliklerini geliştirmek kritik.