Amenaza persistente: actores norcoreanos de PolinRider despliegan más de 100 paquetes maliciosos en npm, Packagist, Go y Chrome
Introducción
En las últimas semanas, la comunidad de ciberseguridad ha sido testigo de un incremento significativo en las campañas de software malicioso dirigido a la cadena de suministro, con especial atención a la actividad de un grupo de actores de amenaza vinculados a Corea del Norte. Estos operadores, responsables de la campaña conocida como “Contagious Interview”, han sido observados recientemente desplegando al menos 108 paquetes maliciosos y extensiones de navegador en repositorios tan diversos como npm, Packagist, Go y la Chrome Web Store. Esta campaña, denominada PolinRider, evidencia una persistente evolución de las tácticas, técnicas y procedimientos (TTP) empleadas por los adversarios para comprometer entornos de desarrollo y distribución de software a escala global.
Contexto del Incidente o Vulnerabilidad
Desde principios de 2024, diversas fuentes han reportado que el grupo norcoreano tras PolinRider ha intensificado sus operaciones de ataque a la cadena de suministro, aprovechando la confianza depositada en los repositorios de código abierto y las extensiones de navegador. A través de la publicación de paquetes aparentemente legítimos, los actores han logrado infiltrarse en flujos de trabajo DevOps, comprometiendo tanto a desarrolladores individuales como a organizaciones con prácticas de gestión de dependencias insuficientes. La táctica de suplantar o secuestrar cuentas de mantenedores previamente reputados ha sido central en la proliferación de estos artefactos maliciosos.
Detalles Técnicos
Las actividades asociadas a PolinRider se alinean con técnicas documentadas en el framework MITRE ATT&CK, particularmente T1195 (Supply Chain Compromise), T1086 (PowerShell), T1059 (Command and Scripting Interpreter) y T1556 (Modify Authentication Process). Los paquetes maliciosos han sido detectados en npm (JavaScript), Packagist (PHP), Go (Golang) y como extensiones de Google Chrome.
Uno de los vectores más notables ha sido el compromiso de cuentas de mantenedores, lo que permite la publicación o actualización de paquetes con payloads ofuscados. Estos payloads suelen incluir scripts de postinstalación que establecen conexiones C2, exfiltran credenciales y tokens de acceso, e incluso descargan binarios adicionales que pueden funcionar como loaders o droppers para RATs personalizados. Se han observado técnicas de evasión como el uso de cadenas base64, cifrado simétrico y detección de entornos sandbox.
Indicadores de Compromiso (IoC) incluyen nombres de paquetes que imitan bibliotecas populares, hashes de archivos distribuidos, dominios de C2 en infraestructuras previamente asociadas a Lazarus Group y direcciones IP detectadas en registros de acceso a los repositorios. Hasta el momento no se ha publicado ningún CVE específico asociado a esta campaña, pero la naturaleza de los paquetes facilita el despliegue de exploits en función de los privilegios obtenidos en los sistemas comprometidos.
Impacto y Riesgos
El despliegue de más de 100 paquetes maliciosos en repositorios ampliamente utilizados eleva considerablemente el riesgo sistémico para empresas tecnológicas, desarrolladores y usuarios finales. Las consecuencias potenciales incluyen acceso no autorizado a infraestructuras críticas, robo de propiedad intelectual, uso de sistemas comprometidos como pivot points para campañas de mayor alcance y pérdida de datos sensibles, en clara contravención de normativas como el GDPR y la inminente NIS2.
Según estimaciones recientes, entre el 2% y el 5% de los desarrolladores que utilizan dependencias automatizadas pueden haber descargado alguno de estos paquetes en al menos una ocasión, lo que sitúa la cifra de sistemas potencialmente afectados en decenas de miles a nivel global. La monetización directa mediante ransomware no es el objetivo principal, sino la persistencia y el acceso prolongado a entornos de desarrollo y despliegue.
Medidas de Mitigación y Recomendaciones
Las organizaciones deben adoptar una defensa en profundidad que incluya:
– Auditoría periódica de dependencias y uso de herramientas como Snyk, OWASP Dependency-Check o GitHub Dependabot.
– Implementación de políticas de revisión manual para las actualizaciones de paquetes críticos.
– Uso de repositorios privados y restricciones de instalación a fuentes verificadas.
– Monitorización de tráfico saliente para identificar comportamientos anómalos asociados a C2.
– Aplicación de autenticación multifactor (MFA) en cuentas de mantenedores y desarrolladores.
– Formación continua en seguridad para equipos DevOps y de desarrollo.
Opinión de Expertos
Expertos del sector, como los analistas de Mandiant y Cisco Talos, subrayan la creciente sofisticación de las campañas norcoreanas dirigidas a la cadena de suministro. “El riesgo ya no es solo funcional, sino reputacional y estratégico. El acceso a entornos de desarrollo puede derivar en ataques a gran escala con consecuencias internacionales”, afirman. Destacan asimismo la necesidad de colaboración entre plataformas de distribución y la comunidad para una respuesta rápida ante la detección de paquetes fraudulentos.
Implicaciones para Empresas y Usuarios
Las empresas tecnológicas y cualquier organización que dependa de software de terceros deben reevaluar urgentemente sus políticas de gestión de dependencias. El cumplimiento regulatorio (GDPR, NIS2) exige no solo la protección de datos, sino también la integridad de los procesos de desarrollo y despliegue. Los usuarios finales, por su parte, deben extremar la precaución con extensiones y aplicaciones de navegador, limitándose a fuentes oficiales y revisando permisos.
Conclusiones
La campaña PolinRider confirma la profesionalización y persistencia de los actores norcoreanos en el ámbito de la cadena de suministro. La publicación masiva de paquetes y extensiones maliciosas obliga a las organizaciones a reforzar sus controles y a permanecer alerta ante futuras oleadas. La colaboración sectorial y la concienciación continua son esenciales para mitigar el impacto de estas amenazas avanzadas.
(Fuente: feeds.feedburner.com)
