DeafNews
// 2 ZERO-DAY · 3 CVE · 2 EXPLOIT NELLE ULTIME 24H
News

Corea del Nord contro gli sviluppatori: quando l'IDE diventa la superficie di

Published: Updated: By DeafSuite team 8 min read News
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Attori di stato nordcoreani hanno abusato VS Code, npm, GitHub e Hugging Face per distribuire malware a sviluppatori. La campagna UNK_DeadDrop ha colpito circa 100

Attori di minaccia legati alla Corea del Nord hanno abusato strumenti di sviluppo quotidiani—VS Code, npm, GitHub, Hugging Face—come canali di distribuzione malware contro gli sviluppatori. Proofpoint ha identificato la campagna UNK_DeadDrop: circa 100 organizzazioni bersagliate con oltre 250 email in sei settimane tra aprile e maggio 2026, con oltre tre quarti dei bersagli negli Stati Uniti. I ricercatori di Yeeth Security hanno pubblicato a giugno 2026 la scoperta di tre estensioni malevole sul marketplace ufficiale VS Code. Le fonti primarie documentano queste operazioni con limiti noti di attribuzione: nessuna corrispondenza diretta di IoC con repository pubblici noti, e il numero totale di sviluppatori effettivamente compromessi rimane sconosciuto.

Punti chiave
  • Proofpoint ha documentato la campagna UNK_DeadDrop: ~100 organizzazioni bersagliate con 250+ email tematiche sviluppo/recruiting in sei settimane, >75% negli Stati Uniti.
  • Yeeth Security ha scoperto tre estensioni malevole sul marketplace ufficiale VS Code—jupyter-powerdev, jupyter-powertools, markdown-mode-devtools—con backdoor, C2 via SharePoint/Graph API e traffico AES-256-CBC.
  • OX Security ha identificato pacchetti npm legati alla Corea del Nord che usano Hugging Face come hosting di secondo stadio e esfiltrazione dati via dataset privati.
  • Trend Micro ha rilevato che Void Dokkaebi converte i repository delle vittime in "catena di propagazione autosostenibile" con comportamento assimilabile a worm.

UNK_DeadDrop: il recruiting come ingresso nel workspace

La campagna UNK_DeadDrop rappresenta un'escalation quantitativa rispetto alle tattiche precedenti. Proofpoint ha rilevato oltre 250 email distribuite in sei settimane, con tematiche di recruiting tecnico e code review. I destinatari ricevono link a repository GitHub che, una volta clonati, attivano esecuzione automatica tramite il file tasks.json di VS Code con la direttiva runOn: folderOpen.

Il meccanismo non richiede interazione oltre l'apertura della cartella. Cursor, fork di VS Code diffuso tra gli sviluppatori, non mostra prompt di trust per tasks.json ed esegue il codice silenziosamente secondo quanto documentato da Proofpoint e rilanciato da Infosecurity Magazine. Su Linux e macOS il payload deploya una variante custom del framework Overlord; su Windows si attiva una catena VBScript→CMD→estensione senza connessione persistente.

Un'estensione malevola mascherata da servizio Google consente esecuzione remota di comandi, reconnaissance di sistema ed esfiltrazione da wallet crittografici di browser e desktop. Il target finanziario è esplicito: la Corea del Nord ha sottratto circa 2,02 miliardi di dollari in criptovalute nel 2025 secondo Chainalysis, citato da Okdiario.

Il marketplace VS Code come canale C2 persistente

Yeeth Security ha identificato tre estensioni sul marketplace ufficiale VS Code che funzionano da backdoor multi-stadio: jupyter-powerdev, jupyter-powertools e markdown-mode-devtools. Le tre condividono un GUID SharePoint hardcoded (e6bf72be-e8e2-4785-8814-5f874341d11f) e una chiave AES (3e1c9a72f5b84d06e2a97c5310fb8e4d), confermando un unico operatore.

Il modello operativo differisce dalla logica "staged" del malware OLDev: due estensioni pesano 7,4 MB e contengono funzionalità complete, la terza è leggera (18 KB) e serve da delivery iniziale. Il C2 passa attraverso un sito SharePoint usato come coda di comandi, registro delle vittime e canale di esfiltrazione, con traffico cifrato AES-256-CBC e tunneling via Microsoft Graph API.

Su Windows, l'agente impiega un binario .NET bundled con Costura.Fody che sfrutta le API di scripting Roslyn per esecuzione C# in-memory. Il timestamp di compilazione è contraffatto al 2040, secondo Yeeth Security. Il tasso di rilevamento su VirusTotal per il componente monitor-agent.exe è di 3 su 71 motori.

Yeeth Security nota sovrapposizioni architetturali con Lazarus Group: la divisione JavaScript/Python tipica delle operazioni Contagious Interview e l'astrazione Graph API-to-SharePoint già osservata in DreamLoader. L'attribuzione si fonda su pattern TTP, non su corrispondenza diretta di IoC con repository pubblici noti.

npm, Hugging Face e l'abuso della fiducia nelle piattaforme AI

OX Security ha documentato una linea di attacco parallela: pacchetti npm legati all'account jpeek895, già segnalato nell'aprile 2026 per il pacchetto terminal-logger-pack. I pacchetti identificati—terminal-logger-utils, pretty-logger-utils, ts-logger-pack, pinno-loggers—usano hook postinstall per attivare un dropper utils.cjs che recupera binari Node.js SEA specifici per sistema operativo.

L'hosting del secondo stadio avviene su Hugging Face, piattaforma legittima di machine learning. Il repository 'Lordplay/system-releases' ospita i payload; dataset privati ricevono i dati rubati. Il traffico si confonde con le comunicazioni legittime di ricerca AI, eludendo i controlli di rete basati su reputazione dei domini.

L'account npm jpeek895 presenta una storia di pubblicazioni coerente con la linea temporale delle operazioni documentate da altri ricercatori. OX Security descrive il meccanismo tecnico; la fonte non specifica una valutazione strategica della scelta di Hugging Face come piattaforma.

Da macchina compromessa a propagazione a catena

L'evoluzione più significativa riguarda la conversione della vittima in vettore di infezione. Trend Micro, riportato da The Hacker News, ha analizzato le operazioni di Void Dokkaebi: "La macchina compromessa diventa un trampolino di lancio, con l'attore che arma i repository della vittima e trasforma i suoi contributi di codice in vettori di infezione per sviluppatori a valle".

La TaskJacker campaign sfrutta esattamente questa dinamica: tasks.json auto-esegue payload quando altri sviluppatori aprono repository compromessi. Il risultato è una propagazione con effetto worm attraverso la rete di relazioni professionali dello sviluppo software. Contagious Interview ha ulteriormente evoluto la propria infrastruttura migrando InvisibleFerret a binari compilati Cython (.pyd/.so).

Il numero totale di sviluppatori effettivamente compromessi attraverso tutte le campagne documentate rimane sconosciuto ai ricercatori. Il brief elenca esplicitamente questo dato come UNKNOWN/LIMITI.

Cosa fare adesso

Le indicazioni seguenti si limitano a quanto documentato dalle fonti primarie, con i limiti di attribuzione noti.

Secondo i ricercatori di Yeeth Security, le estensioni jupyter-powerdev, jupyter-powertools e markdown-mode-devtools condividono il GUID SharePoint e la chiave AES elencati sopra: questi costituiscono indicatori di compromissione verificabili. Il binario monitor-agent.exe presenta rilevamento 3/71 su VirusTotal.

Secondo Proofpoint, le email di UNK_DeadDrop usano tematiche di recruiting tecnico e code review con link a repository GitHub: la verifica del mittente e dell'URL prima del clone è l'unica interazione documentata per bloccare l'infezione iniziale. L'esecuzione automatica via runOn: folderOpen non richiede ulteriore azione utente.

Secondo OX Security, i pacchetti npm terminal-logger-utils, pretty-logger-utils, ts-logger-pack, pinno-loggers e l'account jpeek895 sono associati alla distribuzione di malware. Il repository Hugging Face 'Lordplay/system-releases' è usato per hosting di payload secondari.

Secondo Trend Micro, i repository compromessi da Void Dokkaebi possono propagare infezione a sviluppatori che eseguono clone e apertura in IDE. La fonte non specifica mitigazioni tecniche aggiuntive.

Il contesto: sviluppatori come bersaglio sistemico

La campagna documentata da Proofpoint si inserisce in un pattern più ampio di targeting degli sviluppatori. CrowdStrike e Google hanno smantellato a maggio 2026 il botnet Glassworm, che ha avvelenato oltre 300 repository GitHub in due anni. "Gli avversari non mirano più solo ai prodotti, mirano agli sviluppatori che li costruiscono", ha dichiarato CrowdStrike in quel report.

Proofpoint nota che "l'attività UNK_DeadDrop suggerisce che le operazioni nordcoreane contro gli sviluppatori per profitto finanziario stanno maturando ed evolvendo". Il passaggio da interviste finte sui social media a campagne di phishing su larga scala "potrebbe indicare un attore che industrializza e scala le operazioni".

VS Code, npm, GitHub e Hugging Face non sono vulnerabili nel senso di bug di sicurezza: le campagne documentate abusano di feature legittime e della fiducia degli utenti, non di vulnerabilità di prodotto. Questa distinzione è centrale nel brief e nelle fonti primarie.

Le informazioni in questo articolo sono basate sulle fonti primarie citate, con limiti noti di attribuzione. Nessuna fonte fornisce il numero totale di sviluppatori compromessi.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Sul tema

  • ZDI-26-359: RCE in Samsung rlottie, patch urgente
  • Nottingham, il megabreach ERP: circa 454.600 studenti e alumni esposti
  • Gogs, zero-day critico senza patch: RCE CVSS 9.4 con modulo Metasploit

Fonti

Fonti e riferimenti
  1. thehackernews.com
  2. infosecurity-magazine.com
  3. yeethsecurity.com
  4. cybersecuritynews.com
  5. techcrunch.com
  6. okdiario.com
  7. helpnetsecurity.com
  8. welivesecurity.com