Kuzey Koreli Hackerlar Sahte Kodlama Görevleriyle Kripto Çalıyor: Yeni Tehdit UNK_DeadDrop Yazılım

Kuzey Koreli Hackerlar Sahte Kodlama Görevleriyle Kripto Çalıyor: Yeni Tehdit UNK_DeadDrop

Kuzey Koreli hackerlar, sahte kodlama görevleriyle yazılımcıları hedef alıyor. Yeni kampanya UNK_DeadDrop, VS Code ve Cursor'ı kullanarak kripto çalıy

Kuzey Kore bağlantılı siber tehdit aktörleri, yazılım geliştiricileri hedef alan yeni bir kampanya ile kripto para ve kimlik bilgilerini çalmaya devam ediyor. Güvenlik firması Proofpoint'in tespit ettiği UNK_DeadDrop kod adlı operasyon, sahte iş ilanları ve kod inceleme görevleri kullanarak geliştiricileri tuzaklarına düşürüyor. Nisan ve Mayıs 2026'da 250'den fazla e-posta gönderen kampanya, özellikle ABD merkezli teknoloji, eğitim ve finans sektörü çalışanlarını, özellikle kripto para firmalarını hedef aldı.

Saldırganlar, tam yığın geliştirici, AI ajan geliştirici gibi roller için sahte iş ilanları oluşturuyor. Kurbanlara gönderilen e-postalar, GitHub veya GitLab'da barındırılan, kod inceleme görevi gibi görünen depolara yönlendiriyor. Geliştiricilerden bu depoları klonlamaları ve VS Code veya Cursor gibi editörlerde açmaları isteniyor. Ancak her deponun içinde gizlenmiş bir tasks.json dosyası, klasör açıldığı anda otomatik olarak çalışıyor.

Bu dosya, editörün meşru bir özelliğini kötüye kullanarak zararlı kodu tetikliyor. VS Code bir güvenlik uyarısı gösterirken, Cursor hiçbir uyarı vermeden yükü sessizce çalıştırıyor. Yük, Google hizmeti gibi görünen sahte bir VS Code eklentisi yüklüyor ve macOS veya Linux'ta editör her yeniden açıldığında zararlı yazılımı yeniden başlatıyor. Windows'ta ise yük, editör içinde JavaScript olarak çalışıyor ve diske hiçbir dosya bırakmıyor.

Sistem Güvenliği

Farklı platformlarda farklı yöntemler kullanılsa da amaç aynı: kripto para cüzdanlarını ve kimlik bilgilerini çalmak. Zararlı yazılım, tarayıcı tabanlı MetaMask, Phantom, Keplr gibi eklentileri; Exodus, Electrum, Ledger Live gibi masaüstü cüzdan uygulamalarını; Chrome, Brave, Edge ve Firefox'tan kaydedilmiş şifreler ve çerezleri hedefliyor. macOS ve Linux'ta sahte bir şifre penceresi açılarak kullanıcının anahtar zincirine erişiliyor. Windows'ta ise Chrome'un uygulama bağlantılı şifrelemesi atlanıyor. Veriler çalındıktan sonra yük kendini siliyor.

Detaylar ve Etkileri

Proofpoint, bu kampanyanın daha önce tespit edilen ve sahte işe alım uzmanlarıyla geliştiricileri hedef alan Contagious Interview operasyonuyla benzerlikler taşıdığını ancak UNK_DeadDrop'u ayrı bir küme olarak takip ettiğini belirtiyor. Farklılaştırıcı unsurlar arasında e-posta tabanlı dağıtım, endüstriyel ölçekte depo oluşturma ve altyapı çökse bile çalışmaya devam eden kendi kendine yeten yükler sayılıyor. Kuzey Kore bağlantılı gruplar en az 2022'den beri bu yöntemi kullanıyor.

Bu tehditten korunmak için geliştiricilerin şüpheli iş tekliflerine ve kod inceleme taleplerine karşı dikkatli olmaları, editörlerdeki güvenlik uyarılarını dikkate almaları ve bilinmeyen kaynaklardan gelen projeleri açmadan önce güvenlik taraması yapmaları öneriliyor. Kurumsal düzeyde ise e-posta filtreleme, uygulama izin yönetimi ve düzenli güvenlik farkındalık eğitimleri bu tür saldırıların etkisini azaltabilir.

Kaynak: infosecurity-magazine.com

Paylaş: