Iscriviti al webinar gratuito per CISO del 18 Giugno: "Dove si rompono gli LLM: la OWASP Top 10 spiegata per chi deve governare il rischio AI." Scopri di più
Phishing Nordcoreano su GitHub: VS Code diventa Trojan e svuota wallet crypto
Negli ultimi mesi la sicurezza informatica sta osservando un salto di qualità nelle campagne di phishing rivolte agli sviluppatori, con gruppi collegati alla Corea del Nord che trasformano strumenti e flussi di lavoro tipici del mondo dev in canali di distribuzione malware. Una delle operazioni più rilevanti è stata identificata come UNK DeadDrop e si basa su email che simulano offerte di lavoro, recruitment per ruoli tecnici o richieste di code review.
Il bersaglio non è solo la singola persona, ma l’intero ecosistema che ruota attorno a repository, estensioni e ambienti di sviluppo.
La catena di infezione parte da messaggi che includono link a repository GitHub controllati dagli attaccanti. Il destinatario viene invitato a clonare il progetto e ad aprirlo in Visual Studio Code o in editor compatibili. A questo punto entrano in gioco tecniche di esecuzione automatica legate alla configurazione del progetto, come l’attivazione di codice malevolo all’apertura della cartella, senza richiedere ulteriori azioni. Questo approccio rende l’attacco particolarmente insidioso perché sfrutta abitudini comuni, come testare un progetto scaricato o verificare un compito tecnico.
A seconda del sistema operativo vengono usati loader differenti, ad esempio script shell su macOS e Linux e VBScript su Windows. Lo scopo è installare una estensione VS Code in formato VSIX che si finge un servizio legittimo, ma in realtà abilita comandi remoti, raccolta informazioni sul sistema e furto dati. Tra gli obiettivi principali ci sono credenziali e dati legati a wallet crypto, incluse estensioni del browser e applicazioni desktop, con esfiltrazione verso server esterni tramite richieste HTTP.
Su macOS e Linux è stata osservata anche una variante di un framework in Go utilizzato come base per funzioni di data theft, con ulteriori trucchi di social engineering come finestre di sicurezza false che spingono l’utente a inserire la password di sistema. Su Windows il flusso tende a essere più rapido, con upload dei dati raccolti, pulizia e terminazione, riducendo la finestra di rilevamento.
Parallelamente sono emersi casi di estensioni malevole pubblicate anche su marketplace ufficiali, camuffate da strumenti di produttività per Jupyter Notebook. In alcuni scenari il canale di comando e controllo passa da servizi cloud come SharePoint e API Microsoft Graph, rendendo più difficile distinguere traffico legittimo da traffico ostile. Il quadro complessivo conferma una evoluzione verso attacchi supply chain e compromissione del workflow degli sviluppatori, con l’obiettivo di monetizzare tramite furto di asset digitali e credenziali.