Im Kern der Angriffe stehen kompromittierte Maintainer-Konten. Laut Socket übernehmen die Angreifer diese Accounts, manipulieren damit legitime Repositories und veröffentlichen infizierte Pakete. Zusätzlich setzen sie auf das Umschreiben der Git-Historie, damit die schädlichen Änderungen älter und damit unauffälliger wirken.

Die kompromittierten Repositories enthalten verschleierte JavaScript-Loader. Diese verbinden sich mit der Blockchain sowie mit öffentlich erreichbarer Remote-Procedure-Call-Infrastruktur, um verschlüsselte Nutzlasten nachzuladen. Auf diesem Weg werden der Remote-Access-Trojaner DEV#POPPER und der Infostealer OmniStealer ausgeliefert.

Socket ordnet PolinRider der breiter angelegten Operation Contagious Interview zu. Dazu zählen dem Bericht zufolge auch Taktiken, die bereits in DeceptiveDevelopment, Operation Dream Job und ClickFake Interview beobachtet wurden. Im Visier stehen Entwickler über mehrere Paketquellen und Plattformen hinweg, konkret NPM, Packagist, Go-Module und Chrome-Erweiterungen.

Bislang hat Socket 162 schädliche Release-Artefakte in 108 eindeutigen Paketen gefunden. Die Forscher rechnen damit, dass weitere betroffene Pakete auftauchen werden, solange die Kampagne fortgesetzt wird.

Zu den von Socket dokumentierten Vorfällen gehört die Kompromittierung des GitHub-Kontos Xpos587. Dieser Account betreut mehrere Repositories, die laut Bericht am 23. Juni innerhalb eines kurzen Zeitfensters verändert wurden.

Kürzlich weitete sich die Kampagne nach Angaben von Socket auch auf Packagist aus. Dort wurden mehrere Pakete im Namespace sevenspan kompromittiert. Die Angreifer versteckten die schädlichen Loader in Konfigurationsdateien, die bei der Bereinigungsaktion nicht erkannt wurden.

Socket warnt, dass Teams, die eine betroffene Paket- oder Erweiterungsversion installiert haben, ihre Installationsumgebung bis zur Überprüfung als potenziell kompromittiert betrachten sollten. Da PolinRider auf Entwicklerumgebungen ziele und dabei Zugangsdaten für Paket-Registries, Quellcode, Cloud-Dienste und CI/CD offengelegt werden könnten, solle die Behebung von einem sauberen System aus erfolgen und nicht von dem möglicherweise infizierten Rechner.