Исследователи Proofpoint сообщили о новой волне атак, похожих на операции северокорейского кластера Contagious Interview, также известного как Famous Chollima, HexagonalRodent и Void Dokkaebi. Кампания получила обозначение UNK_DeadDrop и нацелена на разработчиков: жертвам отправляют письма с предложением пройти техническое задание, проверить код или открыть проект, размещённый в GitHub-репозитории.

По данным Proofpoint, за шесть недель злоумышленники разослали более 250 писем сотрудникам почти 100 организаций. Среди целей были компании из финансового сектора, криптовалютной индустрии, образования, технологий и других отраслей. Более 75% атакованных организаций находятся в США, также в списке фигурируют Великобритания, Австралия, Франция, Бразилия, Германия, Индия, Израиль, Япония и Нидерланды.

Техническая схема строится вокруг привычных инструментов разработчика. Жертву убеждают клонировать репозиторий и открыть его в VS Code или Cursor. В проектах используется техника runOn: folderOpen: вредоносный код запускается при открытии папки без дополнительного клика. Для macOS и Linux применяются shell-скрипты, для Windows — VBScript и CMD-файлы. Затем устанавливается вредоносное VS Code-расширение, маскирующееся под легитимный сервис Google.

Полезная нагрузка поддерживает удалённое выполнение команд, разведку системы и кражу данных из браузерных расширений криптокошельков, учётных данных и desktop wallet-приложений. В Linux и macOS цепочка приводит к модифицированной версии open-source-фреймворка Overlord, включая фальшивое окно для ввода системного пароля. В Windows вариант не поддерживает постоянное соединение: он собирает данные, загружает ZIP-архив на сервер и очищает следы.

Proofpoint считает важным изменение масштаба: вместо точечных собеседований в соцсетях группа переходит к массовым письмам и репозиториям, что может говорить об индустриализации операций. Параллельно Yeeth Security обнаружила несколько вредоносных VS Code-расширений в официальном маркетплейсе, замаскированных под инструменты для Jupyter Notebook. Для компаний главный вывод прост: технические задания, open-source review и GitHub-ссылки больше нельзя считать низкорисковым этапом найма. Проекты кандидатов и рекрутеров стоит открывать в изолированной среде, а автоматический запуск задач в IDE — жёстко контролировать.

Источник: The Hacker News, 16 июня 2026