Proofpoint, compañía especializada en ciberseguridad y cumplimiento normativo, ha detectado una nueva operación maliciosa atribuida presuntamente a actores vinculados con Corea del Norte. El grupo, identificado como UNK_DeadDrop, está llevando a cabo campañas de phishing dirigidas específicamente a desarrolladores de software mediante el uso de repositorios fraudulentos en GitHub, extensiones maliciosas para Visual Studio Code y otros recursos diseñados para comprometer entornos de desarrollo y sustraer credenciales, así como activos relacionados con criptomonedas.
Según los investigadores de Proofpoint, los ataques comienzan con el envío de correos electrónicos que incluyen enlaces a repositorios controlados por los ciberdelincuentes. Estos espacios se presentan como pruebas técnicas, proyectos de código abierto o iniciativas vinculadas al ecosistema de las criptomonedas para ganar credibilidad ante las víctimas. Los atacantes buscan que los desarrolladores descarguen estos repositorios y los abran en herramientas de programación como Visual Studio Code o Cursor.
Una vez que el proyecto se ejecuta en el entorno de desarrollo, se activan tareas previamente configuradas que desencadenan distintas cadenas de infección adaptadas a sistemas Windows, Linux y macOS. De esta forma, los atacantes consiguen comprometer los equipos de manera discreta y con escasa intervención por parte de los usuarios.
Uno de los aspectos más relevantes de esta campaña es el empleo de extensiones maliciosas para Visual Studio Code, capaces de operar de forma encubierta y mantener el acceso persistente a los sistemas afectados. En los equipos Linux y macOS, los atacantes utilizan una variante basada en Overlord, un framework de código abierto que funciona como puerta trasera y permite el control remoto de los dispositivos comprometidos. En el caso de Windows, la actividad maliciosa se desarrolla directamente dentro del proceso Electron del editor de código, evitando la necesidad de instalar archivos ejecutables adicionales.
Los expertos de Proofpoint observaron entre abril y mayo una campaña de UNK_DeadDrop que llegó a impactar a cerca de un centenar de organizaciones pertenecientes a sectores como la tecnología, las criptomonedas, las finanzas, la educación y los servicios empresariales. Durante un periodo de seis semanas, los atacantes distribuyeron más de 250 correos electrónicos utilizando como señuelo ofertas de empleo para desarrolladores, solicitudes de revisión de código y propuestas de colaboración en proyectos de software, con el objetivo de aumentar las posibilidades de éxito de la operación.
La investigación de Proofpoint refleja la evolución de UNK_DeadDrop de las campañas tradicionales de falsas entrevistas de trabajo hacia operaciones más escalables y sofisticadas, centradas en el abuso de herramientas de desarrollo de confianza.
El malware empleado en estas campañas recopila información de extensiones de monederos instaladas en navegadores, credenciales almacenadas y otros datos de interés para los atacantes, que luego se envían a servidores de mando y control para su explotación.
Esta actividad comparte similitudes con operaciones previamente atribuidas a actores norcoreanos, especialmente aquellas centradas en desarrolladores y organizaciones vinculadas a criptomonedas. No obstante, el uso masivo del correo electrónico como vector inicial, el empleo de repositorios especialmente diseñados para distribuir malware y el desarrollo de nuevas técnicas basadas en extensiones VSIX justifican el seguimiento de esta actividad como un clúster independiente, de acuerdo a los investigadores de Proofpoint.
“Esta campaña demuestra cómo los ciberdelincuentes alineados con Corea del Norte continúan evolucionando sus tácticas para comprometer a desarrolladores y acceder a activos de alto valor”, apuntan los investigadores de Proofpoint. “La combinación de repositorios aparentemente legítimos, la automatización de la ejecución de código y los mecanismos de persistencia discretos evidencia una inversión continuada en herramientas y procedimientos diseñados para integrarse en flujos de trabajo de desarrollo ampliamente utilizados”.
Tras esta investigación sobre UNK_DeadDrop, Proofpoint recomienda a las organizaciones reforzar los controles sobre entornos de desarrollo, revisar cuidadosamente cualquier repositorio recibido por canales no verificados, supervisar la instalación de extensiones en los editores de código y formar a los equipos de desarrollo para identificar intentos de ingeniería social relacionados con oportunidades laborales o colaboraciones técnicas.
