Дослідники виявили шкідливі пакети в реєстрах npm та Go, які використовують приховані розширення VS Code під назвою “eslint-check” для автоматичного запуску коду під час відкриття папки проєкту розробником. Атака обходить стандартні захисні механізми перевірки. Після активації програма завантажує зашифрований JavaScript безпосередньо з транзакцій у блокчейнах TronGrid та Aptos, уникаючи блокування серверів управління.

Кінцевою метою атаки є розгортання вірусу-викрадача даних на базі Python під назвою InvisibleFerret на системах Windows, Linux та macOS. Вірус викрадає паролі браузерів, сесійні файли, дані криптогаманців та ключі доступу до GitHub. Експерти пов’язують кампанію з північнокорейським угрупованням, націленим на викрадення криптовалюти та отримання доступу до корпоративних мереж.