Северокорейские хакеры атакуют разработчиков через фальшивые вакансии и вредоносные репозитории GitHub: новая кампания UNK_DeadDrop

security

Весной 2026 года специалисты компании Proofpoint зафиксировали масштабную фишинговую кампанию, направленную против разработчиков по всему миру. Злоумышленники, предположительно связанные с Северной Кореей, использовали поддельные предложения о работе и просьбы провести ревью кода, чтобы заставить жертв запустить вредоносное программное обеспечение. Атаки затронули почти сто организаций из сфер финансов, криптовалют, образования и технологий. Исследователи присвоили этой активности кодовое имя UNK_DeadDrop.

Описание

Схема заражения начинается с электронного письма, содержащего ссылку на репозиторий GitHub. Письмо выглядит как приглашение на техническое собеседование или просьба проверить код открытого проекта. Жертву просят клонировать репозиторий и открыть его в редакторе кода Visual Studio Code или Cursor. Внутри репозитория спрятан файл tasks.json, который при открытии папки автоматически запускает вредоносные скрипты. Особенность в том, что Cursor выполняет задачу без какого-либо запроса подтверждения - молча и мгновенно.

После запуска скрипты устанавливают в редактор вредоносное расширение VSIX (тип пакета для расширений Visual Studio), замаскированное под легитимный сервис Google. Это расширение обеспечивает закрепление в системе на macOS и Linux, а на Windows выполняет разовую кражу данных. Затем запускается кроссплатформенный вредонос, способный работать на операционных системах macOS, Linux и Windows.

Для Linux и macOS злоумышленники применяют фреймворк Overlord, написанный на Go. Это полноценный инструмент удалённого управления (RAT), который устанавливает постоянное соединение с сервером управления и команд (C&C - сервер для приёма команд от атакующего и кражи данных) через WebSocket. Overlord собирает криптовалютные кошельки, пароли из браузеров и ключи из системной связки Keychain на macOS или GNOME Keyring на Linux. Чтобы получить пароль от системы, вредонос показывает поддельное диалоговое окно, якобы для подтверждения прав доступа.

На Windows атака устроена иначе. Вместо отдельного бинарного файла вредонос выполняется целиком внутри процесса редактора кода, используя функцию ELECTRON_RUN_AS_NODE. Это значит, что не требуется запись файла на диск - код живёт в памяти. Сценарий Node.js расшифровывает зашифрованные полезные нагрузки, собирает данные из 35 расширений криптокошельков (MetaMask, Phantom, Rabby, Keplr и других), 18 отдельных приложений-кошельков (Exodus, Electrum, Ledger Live и т. д.) и кражу паролей из браузеров. Для обхода защиты App-Bound Encryption в Chrome и Edge злоумышленники загружают Python в каталог браузера и используют уязвимость COM Elevation Service. После сбора данных архив отправляется на сервер C&C, а следы на диске удаляются.

За два месяца кампании было отправлено более 250 писем. Поддельные компании выглядели убедительно: Ondo Finance (децентрализованные финансы), Empower Pharmacy (фармацевтика), NXLog (сбор логов), OnePlan (управление проектами), Hypen Connect (Web3 и AI-рекрутинг), Valon (ипотечный сервис) и Nourish (телемедицина). Позднее появились темы с ревью кода для платформ Pulsynk и Trixauvex (якобы криптотрейдинговые компании), а также тестирование инструмента Foundry для смарт-контрактов и проект AI-агентов с оплатой.

Всего было создано не менее десяти репозиториев, причём шесть из них содержали итеративные обновления - это говорит о том, что операторы активно дорабатывают свои инструменты. Репозитории имеют профессиональную структуру, рабочие скрипты и ссылки на реальные стандарты, что делает их похожими на настоящие проекты с открытым исходным кодом.

Аналитики Proofpoint в своём отчёте отмечают, что UNK_DeadDrop имеет много общего с ранее известной северокорейской группировкой Contagious Interview. Обе группы нацелены на разработчиков, используют GitHub для доставки вредоноса и злоупотребляют возможностями Visual Studio Code. Однако есть и важные отличия. UNK_DeadDrop перешла от социальных сетей к электронной почте, что позволяет охватить гораздо больше целей за короткое время. Кроме того, новая кампания использует самодостаточные полезные нагрузки, встроенные прямо в репозиторий, а не загружаемые из внешних источников. Это делает атаку более устойчивой к блокировке инфраструктуры. Вредоносный код также лучше заметает следы: удаляет папки vendor и .vscode после выполнения.

Последствия такой атаки могут быть крайне серьёзными. Разработчики, особенно в криптовалютной сфере, хранят в браузерах ключи от кошельков, токены API и пароли. Захват одной учётной записи может привести к краже миллионов долларов в цифровых активах. Кроме того, через скомпрометированную среду разработки злоумышленники могут получить доступ к внутренним репозиториям компании, исходному коду и коммерческой тайне.

Хотя точная атрибуция остаётся неясной, все признаки указывают на то, что в кампании участвуют опытные операторы, вложившие значительные ресурсы в разработку инструментов и автоматизацию рассылки. Учитывая, что атаки продолжаются, специалистам по информационной безопасности стоит обратить особое внимание на использование незнакомых репозиториев, особенно если они приходят по электронной почте с предложением о работе. Открытие репозитория в Cursor несёт наибольший риск, поскольку редактор не запрашивает подтверждение для автоматических задач. Для защиты рекомендуется отключить автоматическое выполнение задач в настройках редактора и проверять любые ссылки на GitHub перед клонированием.

Кампания UNK_DeadDrop демонстрирует, что северокорейские хакеры продолжают совершенствовать методы социальной инженерии и технического обхода защит. Переход от индивидуальных атак через LinkedIn к массовым фишинговым рассылкам указывает на индустриализацию процесса. Если раньше такие группировки полагались на ручное общение с жертвой, то теперь они способны генерировать десятки репозиториев и тысяч писем за считанные недели. Это существенно повышает угрозу для разработчиков по всему миру.

Индикаторы компрометации

IPv4

  • 170.205.29.83
  • 170.205.30.227
  • 23.137.105.75

Domains

  • alphanonega.org
  • asteara.org
  • careerpredictto.space
  • careerpulsynk.xyz
  • careertrixauvex.ink
  • ceronet.work
  • ceronetwork.org
  • connectptogether.ink
  • contactpredicttogether.ink
  • contactpulsynk.ink
  • contacttrixauvex.ink
  • coslyintra.online
  • cotrixauvex.ink
  • culyrax.us
  • deep-ai-guard.store
  • domatisc.ink
  • doxxela.ink
  • elsavora.us
  • empowerpharmacy.space
  • google-update-support-agent.zip
  • hyperdevpipline.org
  • mailpredicttogether.ink
  • mailpulsynk.xyz
  • mailtrixauvex.ink
  • migadyn.info
  • nemesistrade.work
  • notifypulsynk.ink
  • nowurisch.fit
  • nxlog.tech
  • ondofinance.tech
  • onoplainai.ink
  • onoplanoai.ink
  • optixauvex.us
  • predictcareertogether.space
  • predicttocareer.space
  • predicttogerecruit.store
  • predicttogether.ink
  • predicttogetherrecruit.store
  • pulsynk.org
  • raxvatange.ink
  • recruitptogether.xyz
  • recruitvex.us
  • run-update.sh
  • talentnexhr.ink
  • teampulsynk.team
  • togetherhire.fun
  • trixauvex.org
  • trixauvexnet.ink
  • valorecuiting.online

URLs

  • https://github.com/mireles343/forge-4626invariants
  • https://github.com/PedrinPY/rekt-db
  • https://github.com/Pulsynk/pulsynk
  • https://github.com/rkama411/x402-kit
  • https://github.com/skyjum/x402-kit
  • https://github.com/sr-werney/forge-4626invariants
  • https://github.com/Stomp47/rekt-db
  • https://github.com/Trixauvex-org/trixauvex
  • https://github.com/wayout4u/rekt-db
  • https://github.com/ziobiri/forge-4626-invariants
  • https://gitlab.com/predict-together/forge-4626invariants.git
  • https://gitlab.com/pulsynk-org/rekt-db.git
  • https://gitlab.com/trixauvex-org/x402-kit.git

Emails

  • alex@contacttrixauvex.ink
  • alex@mailpredicttogether.ink
  • alex@predicttocareer.space
  • alex@pulsynk.org
  • alex@trixauvexnet.ink
  • alexsnow@hr.predicttocareer.space
  • alexstone@hr.trixauvex.org
  • carissae@hr.mailpulsynk.xyz
  • christopher@hr.trixauvex.org
  • chrisyan@hr.pulsynk.org
  • dalbir@empowerpharmacy.space
  • dianaberendi@nxlog.tech
  • emmaparker@hr.recruitvex.us
  • faithtedesco@hr.mailtrixauvex.ink
  • frankbloch@hr.trixauvex.org
  • gusb@ondofinance.tech
  • jamesrock@hr.trixauvexnet.ink
  • jamierain@hr.contacttrixauvex.ink
  • jamierain@hr.onoplanoai.ink
  • jamiereed@hr.mailpredicttogether.ink
  • jamiereed@hr.predicttocareer.space
  • jasen@empowerpharmacy.space
  • joshc@ondofinance.tech
  • joshn@hr.recruitvex.us
  • jovanav@nxlog.tech
  • justinstone@hr.trixauvex.org
  • michaelw@ondofinance.tech
  • neila@ondofinance.tech
  • nicoupdyke@hr.trixauvexnet.ink
  • oladotuna@ondofinance.tech
  • oliviaben@hr.pulsynk.org
  • sam@hr.pulsynk.org
  • samalt@hr.contacttrixauvex.ink
  • samalt@hr.onoplanoai.ink
  • samalt@hr.predicttocareer.space
  • sarikasinha@nxlog.tech
  • shelbysturm@hr.mailtrixauvex.ink
  • sladjanas@nxlog.tech
  • sophiareed@hr.contacttrixauvex.ink
  • sophiareed@hr.onoplanoai.ink
  • valerie@empowerpharmacy.space
  • vanjamirkovic@nxlog.tech

SHA256

  • 2812e0847d472cb8870c94f463331dbe53b84135132b9bf5f6d84c2382be628f
  • 339907b44f161f57ff30819f422c552382ff437b3ae437463b4222cfe86bd943
  • 35813f4401d3ad77b618275473a556eb47bfa6f4b7439dd8943b19f81aa7252e
  • 4c0d9b802c075be79e9edb52d88f8dd72e6904f5c58267213745818470945c78
  • 52886aab179f26421678ff23af1b0fabf0a17ffbb534369cdbbac8008cbed8e7
  • 62761f38ed194c59abe15c49f09f0ebc431ac852c965180c9327ed84d3a454fb
  • 6cf9f7b2aa456a0b438600588df869b38d8007e28f01fa96022f9d8059f120b0
  • 734699773e53d995f20d485eb61261033d9d00b4332b39ca26071bcd60cd352f
  • 808e7154b7af2bc7a4b28d577297c55f77221c355191cbe00f9f1810b6d4a619
  • 91b9381d19b2e6a2db5cc0307167979b502731cb3fb50da684479e9ed35261aa
  • a2b9a769df84d9d3a4694bb0252a2c6a5e5f5d1a85a04565362737092bbb3a86
  • bb10adac5b0124efedfe71102c1d5638135ec9e1cde8c8cb3353c5ed91bb9f81
  • c935808147f0236c81483d7bbeda4b9d602f3595d5d4057f8115d39e222d1c4b
  • d3ebce2f05fe91a8260e87fd11a6ea17c156703d081b3f91d9bbe5fd6aeedc10
  • d5e9288693aa745dc89368deac677e7ea1ec81e663283af30838cdae189b7a7e
  • e1bf1b29e6fa3525d7f32f429290a88d6ea2890e61c06574b8ff6372aa5d0667

Комментарии: 0