Proofpoint: северокорейские хакеры прячут вредоносный код в тестовых заданиях для программистов

Специалисты Proofpoint раскрыли масштабную кампанию, в которой предполагаемые северокорейские хакеры рассылают разработчикам поддельные тестовые задания со встроенным вредоносным кодом. За апрель и май 2026 года злоумышленники отправили свыше 250 писем сотрудникам почти 100 организаций. Главная цель операции — кража криптовалюты, паролей и сессионных данных у технических специалистов.

Активность отслеживается под обозначением UNK_DeadDrop и считается одной из самых заметных операций против программистов за последние месяцы. Большинство получателей писем работают в США в технологическом, образовательном и финансовом секторах. Повышенное внимание атакующие уделяют компаниям, связанным с цифровыми активами и блокчейн-разработкой.

Каждое письмо содержит ссылку на репозиторий GitHub или GitLab, оформленный под обычное собеседование. Получателю предлагают клонировать проект и открыть его в редакторе кода. Чаще всего жертв направляют в VS Code или Cursor.

Тематика заданий регулярно обновляется для большей убедительности. Среди легенд встречаются следующие варианты:

• вакансия full-stack-разработчика с тестовым проектом;
• задание для ведущего инженера по ИИ-агентам;
• просьба оценить открытый исходный код;
• проверка хранилища смарт-контрактов стандарта ERC-4626 в Foundry;
• участие в разработке платёжных агентов на базе искусственного интеллекта.

Внутри каждого репозитория спрятан файл tasks.json. Он срабатывает сразу после открытия проекта в редакторе и опирается на штатный механизм автоматизации задач. VS Code хотя бы выводит предупреждение и предлагает подтвердить доверие к проекту. Cursor, по данным Proofpoint, запускает вредоносный код в фоновом режиме без какого-либо уведомления пользователя.

Сразу после запуска сценарий устанавливает специальное расширение для VS Code, замаскированное под компонент сервисов Google. Этот модуль закрепляет вредоносную программу в системе и запускает полезную нагрузку при каждом новом открытии редактора на macOS и Linux. Дальнейшая цепочка заражения зависит от операционной системы жертвы.

На macOS и Linux атакующие устанавливают троян удалённого доступа, написанный на языке Go и построенный на открытом фреймворке Overlord. В Windows применяется бесфайловый подход — код выполняется прямо внутри редактора как JavaScript-компонент и не оставляет отдельных файлов на диске. Подобная схема серьёзно осложняет работу классических антивирусных средств.

Вредоносное ПО последовательно проверяет наличие на устройстве популярных кошельков и браузерных расширений. В список интересующих злоумышленников целей входят:

• расширения MetaMask, Phantom и Keplr;
• настольные приложения Exodus, Electrum и Ledger Live;
• сохранённые пароли из Chrome, Brave, Edge и Firefox;
• сессионные cookie и токены авторизации;
• файлы конфигурации криптовалютных клиентов.

Для версий под macOS и Linux предусмотрена дополнительная уловка с поддельным системным окном запроса пароля. После ввода учётных данных программа перезапускается с повышенными привилегиями и извлекает секреты из системной связки ключей. В Windows-варианте применяется обход штатного механизма Chrome для хранения конфиденциальных сведений, а после завершения сбора данных загрузчик удаляет собственные файлы и следы работы.

В Proofpoint зафиксировали сходство новой операции с известной активностью Contagious Interview, где уже несколько лет используется легенда о трудоустройстве и фиктивных рекрутерах. Несмотря на общие черты, UNK_DeadDrop пока рассматривается как самостоятельная группировка. От прежних кампаний её отличают массовая рассылка по электронной почте, конвейерное создание вредоносных репозиториев и автономная полезная нагрузка, продолжающая работу даже после отключения управляющих серверов.

Прямых доказательств связи UNK_DeadDrop с ранее известными группировками у исследователей нет, поэтому наблюдение за активностью идёт отдельным треком. С 2022 года команды, ассоциируемые с КНДР, регулярно атакуют разработчиков через фальшивые профили рекрутеров, поддельные предложения о работе, заражённые библиотеки и подложные проекты с исходным кодом. Основной интерес для подобных операций по-прежнему представляют криптовалютные кошельки, доступ к корпоративным системам и конфиденциальные данные сотрудников.