Pesquisadores de segurança descobriram campanhas que usam repositórios e extensões de ferramentas de desenvolvedor para distribuir malware multiplataforma, mirando profissionais e organizações de diversos setores com foco em roubo de credenciais e dados de carteiras; a operação combina phishing com projetos falsos no GitHub, execuções automáticas no VS Code e componentes que se comunicam com servidores externos para exfiltrar informações.
Pesquisadores de segurança identificaram duas campanhas maliciosas ligadas a um cluster persistente associado à Coreia do Norte.
Uma delas, chamada UNK_DeadDrop, usou e-mails de phishing com temas de recrutamento para funções de desenvolvedor ou de revisão de código para atingir quase 100 organizações em setores como finanças, criptomoedas, educação e tecnologia.
Os alvos foram instruídos a clonar repositórios no GitHub e abrir os projetos no VS Code ou Cursor, onde scripts maliciosos aproveitam o recurso runOn: folderOpen para executar código sempre que o editor é aberto.
As cargas maliciosas são multiplataforma e incluem um framework open-source em Go conhecido como Overlord, além de rotinas específicas para macOS, Linux e Windows que visam roubo de credenciais e dados de carteiras.
Em alguns casos, o carregador instala uma extensão maliciosa para o VS Code (arquivo VSIX) disfarçada de serviço legítimo que se comunica com um servidor externo para executar comandos remotos, fazer reconhecimento do sistema e exfiltrar dados.
No Linux e macOS a cadeia de infecção leva ao uso do Overlord para extração de dados, enquanto no Windows o caminho envolve VBScript executando um CMD que instala a extensão.
Ao contrário das versões para Linux e macOS, o componente Windows não persiste; ele compacta dados em ZIPs, envia ao servidor e depois remove vestígios antes de encerrar.
Os e-mails maliciosos foram disparados em volume: mais de 250 mensagens enviadas ao longo de seis semanas, com mais de 75% dos alvos nos Estados Unidos e também vítimas no Reino Unido, Austrália, França, Brasil, Alemanha, Índia, Israel, Japão e Holanda.
Além disso, pesquisadores revelaram três extensões maliciosas publicadas na loja oficial do VS Code que se apresentavam como ferramentas Jupyter, mas funcionavam como backdoors.
Essas extensões comunicavam-se por uma fila hospedada no SharePoint e podiam receber comandos via Microsoft Graph API, permitindo ações como leitura e escrita de arquivos, exfiltração e execução de código.
Há sobreposições com outras campanhas atribuídas a grupos norte-coreanos, incluindo o uso de repositórios maliciosos, ganchos do Git e operações de engenharia social focadas em recrutamento.
Análises indicam uma operação industrializada que mira desenvolvedores com objetivo financeiro, concentrando esforços em recrutamento em larga escala e repositórios maliciosos como vetor de acesso.
