Kuzey Koreli Bilgisayar Korsanları Sahte Kodlama Görevleriyle Kripto Çalıyor Siber Güvenlik

Kuzey Koreli Bilgisayar Korsanları Sahte Kodlama Görevleriyle Kripto Çalıyor

Kuzey Koreli hackerlar, sahte iş ve kod gözden geçirme tuzaklarıyla geliştiricileri hedef alarak kripto para ve kimlik bilgilerini çalıyor. 250'den fa

Kuzey Koreli bir tehdit aktörü, yaklaşık 100 kuruluşta çalışan yazılım geliştiricilerini sahte iş ilanları ve kod inceleme tuzaklarıyla kandırarak kripto para ve kimlik bilgilerini çalmayı başardı. Proofpoint tarafından UNK_DeadDrop olarak izlenen kampanya kapsamında Nisan ve Mayıs 2026'da 250'den fazla e-posta gönderildi. Hedeflerin çoğu ABD merkezli olup teknoloji, eğitim ve finans sektörlerinde çalışıyordu; özellikle kripto para firmalarına odaklanıldı.

Sahte iş ilanları, full-stack geliştirici, 'ajan lideri' gibi roller için hazırlanmış, açık kaynak kod inceleme talepleri veya ERC-4626 akıllı sözleşme kasası testi gibi görevler içeriyordu. Her e-posta, bir GitHub veya GitLab deposuna bağlantı içeriyordu. Depolar, VS Code veya Cursor gibi bir editörde açıldığında, gizli bir tasks.json dosyası sayesinde hemen kötü amaçlı kod çalıştırıyordu. VS Code güvenlik uyarısı gösterirken, Cursor hiçbir uyarı vermeden payload'ı sessizce çalıştırıyordu.

Kötü amaçlı yazılım, Google hizmeti gibi görünen sahte bir VS Code eklentisi yüklüyor ve macOS veya Linux'ta editör her yeniden açıldığında tekrar çalışıyordu. Ardından Linux ve macOS'ta Overlord çerçevesinden Go ile yazılmış bir uzaktan erişim truva atısı (RAT) devreye girerken, Windows sürümü JavaScript olarak çalışıp diske hiçbir dosya bırakmıyordu. Amaç, MetaMask, Phantom, Keplr gibi tarayıcı tabanlı cüzdanlar ile Exodus, Electrum, Ledger Live gibi masaüstü cüzdanlardan kripto para ve kimlik bilgilerini çalmaktı.

Sistem Güvenliği

Proofpoint, bu kampanyanın Kuzey Kore'nin uzun süredir devam eden Contagious Interview operasyonuyla benzerlikler taşıdığını ancak UNK_DeadDrop'u ayrı bir küme olarak izlediklerini belirtti. Kampanyanın e-posta odaklı dağıtımı, endüstriyel ölçekte depo oluşturma ve altyapı kesintilerine dayanıklı kendi kendine yeten payload yapısı, onu farklı kılıyor. Kuzey Kore bağlantılı gruplar, en az 2022'den beri sahte işe alım uzmanı kimlikleri ve zehirli geliştirici araçlarıyla geliştiricileri hedef alıyor.

Paylaş: