Аналітики Proofpoint викрили масштабну кампанію UNK_DeadDrop, за якою стоять хакери з Північної Кореї. Зловмисники таргетовано розсилають фішингові листи під виглядом співбесід чи рев’ю коду розробникам фінансових та технологічних компаній. Жертвам пропонують клонувати репозиторій із GitHub, який використовує функцію “runOn: folderOpen” у VS Code. Через це шкідливі скрипти автоматично запускаються на ПК розробника в момент простого відкриття папки в редакторі.

Атака призводить до встановлення підробного розширення VSIX, що маскується під сервіси Google, та розгортання фреймворку Overlord. Малварь краде паролі, SSH-ключі та криптовалютні гаманці. Фахівці зазначають, що подібні тактики з використанням прихованих Git-хуків, файлів tasks.json та заражених плагінів у офіційному маркетплейсі VS Code стають масовим трендом для зламу розробників по всьому світу.