Kuzey Koreli Hackerlar Sahte Kod İnceleme Görevleriyle Kripto Para Çalıyor Linux

Kuzey Koreli Hackerlar Sahte Kod İnceleme Görevleriyle Kripto Para Çalıyor

Kuzey Koreli hackerlar, yazılımcılara sahte iş ve kod inceleme görevleri göndererek kripto para cüzdanlarını ve kimlik bilgilerini çalıyor.

Kuzey Kore bağlantılı bir tehdit aktörü, neredeyse 100 kuruluşta çalışan yazılım geliştiricilerini hedef alan sofistike bir kimlik avı kampanyası yürütüyor. Saldırganlar, sahte iş ilanları ve kod inceleme davetiyeleri kullanarak kripto para ve kimlik bilgilerini çalmayı amaçlıyor. Proofpoint tarafından UNK_DeadDrop olarak takip edilen bu kampanya, Nisan ve Mayıs 2026'da 250'den fazla e-posta gönderdi. Hedeflerin çoğu ABD merkezli olup teknoloji, eğitim veya finans sektörlerinde çalışıyor, özellikle kripto para firmalarına odaklanılıyor.

Saldırganlar, haftalar boyunca farklı bahaneler kullandı: full-stack ve 'agent lead' geliştirici rolleri için iş ilanları, açık kaynak kod inceleme talepleri, Foundry'de bir ERC-4626 akıllı sözleşme kasasını test etme görevi ve yapay zeka ödeme ajanları oluşturma projesi. Her e-posta, bir kodlama ödevi gibi görünen GitHub veya GitLab deposuna bağlantı içeriyor; kurbanlardan depoyu klonlayıp VS Code veya Cursor gibi bir düzenleyicide açmaları isteniyor.

Her depoda, klasör açıldığında otomatik olarak çalışan gizli bir tasks.json dosyası bulunuyor. Bu dosya, meşru bir düzenleyici özelliğini kötüye kullanıyor. VS Code en azından bir güvenlik uyarısı gösterirken, Cursor hiçbir uyarı göstermiyor ve zararlı yükü sessizce çalıştırıyor. Script, bir Google hizmeti gibi görünen kötü amaçlı bir VS Code uzantısı yüklüyor. Bu uzantı, macOS veya Linux'ta düzenleyici her yeniden açıldığında kötü amaçlı yazılımı yeniden başlatıyor.

Nasıl Önlem Alınmalı?

Saldırı zinciri platforma göre farklılık gösteriyor: Linux ve macOS'ta, açık kaynaklı Overlord framework'ünden bir Go uzaktan erişim truva atı (RAT) çalıştırılırken, Windows sürümü düzenleyici içinde JavaScript olarak çalışıyor ve diskte dosya bırakmıyor. Amaç her platformda aynı: kripto para ve kimlik bilgilerini çalmak. Kötü amaçlı yazılım, tarayıcı verilerini ve MetaMask, Phantom, Keplr gibi tarayıcı tabanlı cüzdan uzantılarını; Exodus, Electrum, Ledger Live gibi masaüstü cüzdan uygulamalarını; ve Chrome, Brave, Edge, Firefox'tan kaydedilmiş şifreler ile çerezleri tarıyor.

Korumalı sırlara erişmek için macOS ve Linux sürümleri sahte bir şifre iletişim kutusu gösteriyor, ardından yakalanan şifreyi kullanarak kök yetkisiyle yeniden başlatıp anahtar zincirini (keychain) boşaltıyor. Windows varyantı ise Chrome'un uygulamaya bağlı şifrelemesini atlıyor. Verileri yükledikten sonra yükleyici, izlerini gizlemek için dosyalarını siliyor.

Proofpoint, bu kampanyanın, geliştiricileri sahte işe alım uzmanlarıyla hedef alan uzun süredir devam eden Kuzey Kore operasyonu Contagious Interview ile benzerlikler taşıdığını ancak UNK_DeadDrop'u ayrı bir küme olarak takip ettiklerini belirtti. Ekip, kampanyanın e-posta odaklı dağıtımı, endüstriyel ölçekte depo oluşturma ve altyapı kesintilerinden etkilenmeyen kendi kendine yeten yükünü temel farklılaştırıcılar olarak sıraladı. Proofpoint, 'Bilinen bir aktöre atıf doğrulanmamış olsa da, bu devam eden faaliyeti bağımsız bir küme olarak takip etmeye devam ediyoruz' sonucuna vardı.

Kaynak: infosecurity-magazine.com

Paylaş: