Threats

Ataque PolinRider compromete projetos open source

Uma campanha atribuída à Coreia do Norte compromete repositórios open source para distribuir software malicioso através de pacotes legítimos e roubar credenciais de programadores

10/07/2026

Ataque PolinRider compromete projetos open source
dody / Adobe Stock

Uma campanha de ataque à cadeia de fornecimento de software, denominada PolinRider e atribuída a um grupo ligado à Coreia do Norte, está a comprometer repositórios de código aberto para distribuir versões adulteradas de pacotes legítimos e roubar credenciais de programadores.

Segundo investigadores da Socket, a operação expandiu-se para além do ecossistema npm, abrangendo agora outros repositórios de software. Foram identificados 162 artefactos maliciosos distribuídos por 108 pacotes, incluindo vestígios de comprometimento em 80 módulos Go, dez pacotes Packagist e uma extensão para o navegador Chrome.

O objetivo da campanha passa por comprometer contas de mantainers de projetos open source, alterar repositórios legítimos e publicar novas versões infetadas dos pacotes, mantendo ou obtendo acesso aos respetivos registos de distribuição.

A Socket associa o PolinRider à campanha Contagious Interview, atribuída ao grupo Famous Chollima, considerado uma ramificação do grupo Lazarus, ligado ao regime norte-coreano.

Joshua Miller, diretor de inteligência de ameaças da BeyondTrust, explica, em declarações à SCMedia, que o ataque é executado diretamente através do código distribuído pelos pacotes comprometidos. Os atacantes obtêm acesso às contas de mantenedores legítimos, introduzem código ofuscado em projetos de confiança e manipulam o histórico de versões para que as alterações pareçam antigas e legítimas.

Quando um programador instala ou compila um destes pacotes, um componente oculto descarrega a carga maliciosa a partir de infraestruturas públicas baseadas em blockchain, mais difíceis de remover. O malware instala depois um trojan de acesso remoto (RAT) e um programa destinado ao roubo de informação. Os principais alvos da operação são credenciais de programadores, tokens de acesso a serviços cloud e carteiras de criptomoedas.

Segundo Joshua Miller, esta campanha demonstra um padrão consistente de atuação, em que os atacantes exploram a confiança depositada pelos programadores no software open source e procuram maximizar o impacto comprometendo diretamente os responsáveis pela manutenção dos projetos. Uma única conta comprometida pode afetar todos os utilizadores que dependem desse pacote nas suas aplicações.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº30 JUNHO 2026

IT SECURITY Nº30 JUNHO 2026

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.