Proofpoint, empresa de ciberseguridad y cumplimiento normativo, ha identificado un nuevo clúster de amenazas probablemente alineado con Corea del Norte, denominado UNK_DeadDrop, que desarrolla campañas de phishing dirigidas a desarrolladores de software mediante el uso de repositorios maliciosos en GitHub, flujos de trabajo de Visual Studio Code y extensiones maliciosas, con el objetivo de robar credenciales y activos relacionados con criptomonedas.

Los atacantes de UNK_DeadDrop comienzan con correos electrónicos que contienen enlaces a repositorios controlados por los atacantes y presentados como pruebas técnicas, proyectos relacionados con criptomonedas o iniciativas de código abierto, según Proofpoint. Las víctimas son persuadidas para clonar estos repositorios y abrirlos en entornos de desarrollo como Visual Studio Code o Cursor. Una vez abierto el proyecto, se ejecutan tareas preconfiguradas que activan cadenas de infección específicas para Windows, Linux y macOS.

El uso de extensiones maliciosas de Visual Studio Code es uno de los elementos más destacados de estas campañas, ya que se ejecutan de forma sigilosa y mantienen la persistencia en los sistemas comprometidos con una interacción mínima por parte del usuario. En sistemas Linux y macOS, los atacantes despliegan una variante basada en el framework de código abierto Overlord, que actúa como una puerta trasera con capacidades de acceso remoto. En Windows, la actividad maliciosa se ejecuta directamente dentro del proceso Electron del editor, sin necesidad de instalar binarios adicionales en el sistema.

Entre abril y mayo, los investigadores observaron una campaña de UNK_DeadDrop que afectó a alrededor de un centenar de organizaciones de tecnología, criptomonedas, finanzas, educación y servicios empresariales. Durante seis semanas, los ciberdelincuentes enviaron más de 250 correos electrónicos incluyendo señuelos con ofertas de empleo para desarrolladores, revisiones de código y colaboraciones en proyectos de software.

La investigación de Proofpoint refleja la evolución de UNK_DeadDrop de las campañas tradicionales de falsas entrevistas de trabajo hacia operaciones más escalables y sofisticadas, centradas en el abuso de herramientas de desarrollo de confianza.

El malware empleado en estas campañas recopila información de extensiones de monederos instaladas en navegadores, credenciales almacenadas y otros datos de interés para los atacantes, que luego se envían a servidores de mando y control para su explotación.

Esta actividad comparte similitudes con operaciones previamente atribuidas a actores norcoreanos, especialmente aquellas centradas en desarrolladores y organizaciones vinculadas a criptomonedas. No obstante, el uso masivo del correo electrónico como vector inicial, el empleo de repositorios especialmente diseñados para distribuir malware y el desarrollo de nuevas técnicas basadas en extensiones VSIX justifican el seguimiento de esta actividad como un clúster independiente, de acuerdo a los investigadores de Proofpoint.

“Esta campaña demuestra cómo los ciberdelincuentes alineados con Corea del Norte continúan evolucionando sus tácticas para comprometer a desarrolladores y acceder a activos de alto valor”, apuntan los investigadores de Proofpoint. “La combinación de repositorios aparentemente legítimos, la automatización de la ejecución de código y los mecanismos de persistencia discretos evidencia una inversión continuada en herramientas y procedimientos diseñados para integrarse en flujos de trabajo de desarrollo ampliamente utilizados”.

Tras esta investigación sobre UNK_DeadDrop, Proofpoint recomienda a las organizaciones reforzar los controles sobre entornos de desarrollo, revisar cuidadosamente cualquier repositorio recibido por canales no verificados, supervisar la instalación de extensiones en los editores de código y formar a los equipos de desarrollo para identificar intentos de ingeniería social relacionados con oportunidades laborales o colaboraciones técnicas.