UNK_DeadDrop
A Proofpoint egy új, UNK_DeadDrop néven követett, feltehetően észak-koreai kötődésű műveletet azonosított, amely 2026 áprilisa és májusa között közel 100 szervezet fejlesztőit célozta meg. A támadások elsősorban a pénzügyi, kriptovaluta-, technológiai és oktatási szektorban dolgozó szoftverfejlesztőket érintették. A kampány számos elemében hasonlít a Lazarus-csoporthoz köthető Contagious Interview és DEV#POPPER műveletekhez.
A támadók fejlesztői állásajánlatokkal, kódellenőrzési felkérésekkel vagy nyílt forráskódú projektekhez kapcsolódó együttműködési ajánlatokkal vették fel a kapcsolatot az áldozatokkal. A célpontokat GitHub-tárolókhoz irányították, amelyek első ránézésre legitim fejlesztői projekteknek tűntek. A repository-k azonban rejtett rosszindulatú komponenseket tartalmaztak, amelyek futtatás után hitelesítő adatok és kriptovaluta-tárcák adatainak eltulajdonítására szolgáltak.
A kampány egyik újdonsága az úgynevezett Dead Drop Resolver technika alkalmazása. A malware nem tartalmazott közvetlenül vezérlőszerver-címeket, hanem legitim online szolgáltatásokban – például fejlesztői platformokon vagy nyilvános profilokban – elhelyezett kódolt információkból nyerte ki a tényleges C2-infrastruktúra adatait. Ez jelentősen megnehezíti az infrastruktúra blokkolását és a hagyományos IOC-alapú észlelést.
A Proofpoint szerint a művelet elsődleges célja kriptovalutákhoz kapcsolódó hitelesítő adatok, pénzügyi információk és fejlesztői hozzáférések megszerzése volt. A kampány jól illeszkedik Észak-Korea hosszú távú stratégiájába, amelyben a kriptoeszközök eltulajdonítása fontos bevételi forrást jelent a nemzetközi szankciók megkerülésére.
