Bahaneler haftalar boyunca değişti: tam yığın ve "temsilci lideri" geliştirici rolleri için işler, açık kaynak kodunun hakem incelemesi talepleri, Foundry'de bir ERC-4626 akıllı sözleşme kasasını test etme görevi ve yapay zeka ödeme aracıları oluşturma projesi.
Bir GitHub veya GitLab deposuna bağlanan her e-posta, bir kodlama görevi gibi görünüyor ve onu kopyalamaya ve klasörü VS Code veya Cursor gibi bir düzenleyicide açmaya yönelik talimatlar içeriyor.
Kümeyi UNK_DeadDrop olarak izleyen Proofpoint'in yeni analizine göre, kampanya Nisan ve Mayıs 2026'da 250'den fazla e-posta gönderdi. Hedefler çoğunlukla ABD merkezliydi ve kripto para birimi şirketlerine odaklanarak teknoloji, eğitim veya finans alanlarında çalışıyordu.
Muhtemelen Kuzey Koreli bir tehdit aktörü, kripto para birimini ve kimlik bilgilerini çalmak için sahte iş ve kod inceleme tuzaklarıyla neredeyse 100 kuruluştaki yazılım geliştiricilerine kimlik avı gerçekleştirdi.
Teknik Analiz
Her deponun içinde, meşru düzenleyici özelliğini kötüye kullanarak, klasör açıldığında çalıştırılacak şekilde ayarlanmış gizli bir Tasks.json dosyası bulunur. VS Code en azından bir güven istemi gösteriyor; İmleç hiçbirini göstermiyor ve yükü hiçbir etkileşim olmadan sessizce çalıştırıyor.
Uzmanların Görüşleri
Komut dosyası, bir Google hizmeti gibi görünen kötü amaçlı bir VS Code uzantısı yükler; bu uzantı, düzenleyici macOS veya Linux'ta yeniden açıldığında kötü amaçlı yazılımı yeniden başlatır.
Zincirler daha sonra bölünerek Linux ve macOS'un açık kaynaklı Overlord çerçevesinden bir Go uzaktan erişim truva atı almasıyla, Windows sürümü ise düzenleyicinin içinde JavaScript olarak çalışarak diskte hiçbir dosya bırakmadan çalışıyor.
Detaylar ve Etkileri
Sahte İstemler ve Boşalmış Cüzdanlar
Platform ne olursa olsun amaç aynı: kripto para birimini ve kimlik bilgilerini boşaltmak. Kötü amaçlı yazılım, tarayıcı verilerini ve aşağıdakiler de dahil olmak üzere uzun bir kripto para cüzdanı listesini tarar:
Önemli Gelişmeler
MetaMask, Phantom ve Keplr gibi tarayıcı tabanlı cüzdan uzantıları
Exodus, Electrum ve Ledger Live dahil olmak üzere masaüstü cüzdan uygulamaları
Chrome, Brave, Edge ve Firefox'tan kayıtlı şifreler ve çerezler
Korunan sırlara ulaşmak için macOS ve Linux sürümleri sahte bir parola iletişim kutusu gösterir, ardından yakalanan parolayı yeniden kullanarak kök olarak yeniden başlatın ve anahtarlık veya anahtarlığı boşaltın. Windows sürümü bunun yerine Chrome'un uygulamaya bağlı şifrelemesini atlar. Taşımayı yükledikten sonra yükleyici, izlerini kapatmak için dosyalarını siler.
Sonuç ve Değerlendirme
Proofpoint, geliştiricileri sahte işe alım uzmanlarıyla kandıran, ancak UNK_DeadDrop'u ayrı olarak takip eden uzun süredir devam eden Kuzey Kore operasyonu Contagious Interview'ın açık yankılarını gördüklerini söyledi. Ekip, kampanyanın e-posta yönlendirmeli dağıtımını, veri deposu oluşturmanın endüstriyel ölçeğini ve altyapının kaldırılmasına rağmen ayakta kalabilen kendi kendine yeten bir yükü temel farklar olarak gösterdi.
Şirket, "Bilinen bir aktöre atıf doğrulanmamış olsa da Proofpoint, devam eden bu faaliyeti bağımsız bir küme olarak takip etmeye devam ediyor" dedi.
Kuzey Kore ile uyumlu ekipler, en az 2022'den beri sahte işe alım personeli ve zehirli geliştirici araçları kullanarak geliştiricileri bu şekilde hedef alıyor.