文章总结： Proofpoint发现朝鲜黑客组织unk_deaddrop在2026年4-5月针对开发者发起大规模攻击，通过虚假工作邀请和代码审查请求诱导访问GitHub克隆仓库，利用tasks.json配置文件滥用编辑器自动执行任务功能，在Cursor编辑器中静默部署恶意VSCode扩展，窃取加密货币钱包、密码和API令牌，并最终删除载荷以掩盖痕迹。 综合评分： 88 文章分类： 恶意软件,威胁情报,漏洞分析,安全运营,供应链安全

与朝鲜有关联的黑客通过 GitHub 感染开发者

原创

ZM ZM

暗镜

2026年6月11日 08:00 北京

在小说阅读器读本章

去阅读

自2022年初以来，朝鲜黑客就持续不断地攻击加密货币行业。如今，他们正在改进攻击策略，直接瞄准这些平台的开发者。

Proofpoint 追踪到的一个新发现的威胁集群（代号 UNK_DeadDrop）揭示了一波大规模的攻击，其目标直指软件开发人员。

在 2026 年 4 月和 5 月期间，这些攻击者向技术和金融专业人士发送了 250 多封极具针对性的电子邮件，利用虚假的工作机会和代码审查请求作为诱饵来入侵安全网络。

当开发者打开克隆的代码仓库时，陷阱就会触发。攻击者将一个名为 tasks.json 的配置文件隐藏在一个隐藏文件夹中。

此文件滥用了编辑器中打开工作区时自动运行预配置任务的功能。

虽然VS Code 通常会提示用户授予权限，但 Cursor 编辑器会在没有任何交互的情况下静默执行此脚本，从而立即危及计算机安全。

一旦触发，该脚本会在后台静默安装一个伪装成合法 Google 服务的恶意 VS Code 扩展。该扩展在 macOS和 Linux 系统上充当持久化机制，确保每次编辑器打开时恶意软件都会重新启动。

该恶意软件会迅速连接到攻击者控制的服务器，开始窃取数据。其主要目标包括基于浏览器的加密货币钱包、桌面钱包、解密的密码以及有价值的API令牌。

为了掩盖踪迹并挫败安全分析师的企图，这些脚本最终会从开发者的机器中删除恶意载荷。

UNK_DeadDrop 使用高度定制化的恶意软件，具体取决于受害者的操作系统。对于 macOS 和 Linux 用户，感染链会部署一个用 Go 语言编写的、修改过的开源 Overlord 框架。

该二进制文件是一种持久性远程访问木马。在两种操作系统上，该恶意软件都会生成一个虚假的系统对话框，诱骗用户输入密码以解锁，并直接从系统钥匙串或GNOME钥匙环中窃取凭据。

根据 Proofpoint 的研究，它不会像传统程序那样将可执行文件放到硬盘上，而是完全作为 JavaScript 在代码编辑器的进程中运行。

该恶意软件利用底层框架的内置功能，将编辑器变成 Node.js 解释器。

它会系统地扫描加密钱包，并绕过现代 Windows 安全功能（例如应用程序绑定加密），以提取已保存的密码。

它甚至会在浏览器的应用程序文件夹中安装一个隐藏的Python副本，以确保能够读取锁定的数据库。此次行动清晰地展现了朝鲜网络行动的演变。

虽然它与之前记录在案的“传染性采访”等活动有相似之处，但 UNK_DeadDrop 展现了更高的复杂程度和工业化水平。

他们将恶意代码直接嵌入到看似合法的存储库中，并通过受信任的开发者工具自动执行，从而创建了一个高效、隐蔽的陷阱。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《与朝鲜有关联的黑客通过 GitHub 感染开发者》