Nach Angaben von Proofpoint verschickte der beobachtete Akteur in sechs Wochen mehr als 250 E-Mails an Personen in fast 100 Organisationen. Mehr als 75 Prozent der anvisierten Einrichtungen befanden sich in den USA; weitere Ziele lagen im Vereinigten Königreich, in Australien, Frankreich, Brasilien, Deutschland, Indien, Israel, Japan und den Niederlanden.
Die Nachrichten enthielten Links auf GitHub-Repositories, die als technische Aufgaben oder kryptowährungsbezogene Projekte getarnt waren. Empfänger sollten das Repository klonen und in VS Code oder Cursor öffnen. Dadurch starteten betriebssystemspezifische Loader für Linux, macOS und Windows. Spätere im Mai 2026 beobachtete Köder verlagerten den Ansatz laut Proofpoint auf Bitten, quelloffene Projekte zu begutachten.
Der Loader bestand auf macOS und Linux aus einem Shell-Skript, unter Windows aus einem VBScript. Seine Aufgabe war es, eine bösartige VS-Code-Erweiterung im VSIX-Format zu installieren, die sich als legitimer Google-Dienst ausgab. Gleichzeitig kommunizierte sie mit einem externen Server, um entfernte Befehlsausführung, Systemaufklärung und den Abfluss von Daten aus Browser-Wallet-Erweiterungen, Zugangsdaten und Desktop-Wallet-Apps zu ermöglichen.
Unter Linux und macOS führte die Infektionskette zu einer angepassten Version des Open-Source-Frameworks Overlord, die den Diebstahl von Daten unterstützt. Außerdem blendete sie ein gefälschtes Sicherheitsfenster ein, um Nutzer zur Eingabe ihres Systempassworts zu bewegen. Unter Windows nutzte die Angriffskette laut Proofpoint das VBScript, um eine CMD-Datei auszuführen, die anschließend die Erweiterung installierte.
Das Ziel bleibe identisch: Zugangsdaten und Daten aus Wallet-Browser-Erweiterungen und Anwendungen zu stehlen und die Ergebnisse per HTTP-POST an den Server „23.137.105[.]75:5173“ zu übertragen. Proofpoint betont, dass die Windows-Kette im Unterschied zum Linux-/macOS-Agenten keine dauerhafte Verbindung aufrechterhält: Sie lade die ZIP-Dateien hoch, räume auf und beende sich.
Weitere Analysen ergaben laut Proofpoint, dass der Akteur zuvor eine Windows-Go-Binärdatei von Overlord verteilt hatte, inzwischen aber auf die neue Methode umgestiegen ist, wahrscheinlich um eine Erkennung zu vermeiden. Proofpoint führt UNK_DeadDrop dennoch getrennt von Contagious Interview, weil sich der Erstzugang unterscheide — LinkedIn dort, E-Mail hier — und weil Overlord nicht zu den Malware-Familien gehöre, die die Gruppe bislang typischerweise eingesetzt habe, darunter BeaverTail, InvisibleFerret und OtterCookie.
Proofpoint wertet die Aktivität als Hinweis darauf, dass auf finanziellen Gewinn ausgerichtete, Nordkorea-nahe Operationen gegen Entwickler reifer werden und sich weiterentwickeln. Der Wechsel von aktiver Kontaktaufnahme über soziale Plattformen mit fingierten Bewerbungsgesprächen hin zu groß angelegten Phishing-Kampagnen mit Rekrutierungsbezug und Links auf schädliche Repositories könne auf eine Industrialisierung und Skalierung hindeuten.
Parallel dazu entdeckte Yeeth Security im offiziellen VS-Code-Marketplace drei schädliche Erweiterungen mit den Namen „ByteBinTools.jupyter-powerdev-2026.6.8.vsix“, „ToolCraft.jupyter-powertools-3.21.0.vsix“ und „OLDev.markdown-mode-devtools-2.1.0.vsix“. Sie gaben sich als unauffällige Produktivitätswerkzeuge für Jupyter Notebook aus, waren laut Yeeth Security aber eine „ausgefeilte, mehrstufige Hintertür“, die Endpunktschutz umgehen sollte.
Diese Malware unterstützte neben der Ausführung von Befehlen oder Skripten einen dritten Befehlstyp namens „host_action“. Darüber waren Dateisystemoperationen wie pwd, ls, cd und cat sowie Datei-Uploads und -Downloads möglich. Yeeth Security erklärte, es gebe zwar keine direkte Überschneidung mit einer öffentlich dokumentierten nordkoreanischen Kampagne, doch die Aufteilung der Entwicklerwerkzeuge zwischen JavaScript und Python erinnere an Contagious Interview. Zudem weise der Authentifizierungsmechanismus über die Microsoft Graph API Ähnlichkeiten mit den von S2 Grupo LAB52 im Oktober 2025 beschriebenen Dream-Job-Angriffen der Lazarus Group auf.
Die neuen Befunde fügen sich in mehrere Kampagnen ein, die in den vergangenen Monaten mit nordkoreanischen Akteuren in Verbindung gebracht wurden. Expel erklärte dazu, finanziell motivierte Cyberkriminalität sei für fast jeden Nationalstaat unattraktiv, weil die finanziellen Verluste durch daraus resultierende Sanktionen jeden Gewinn übersteigen würden. Für Nordkorea gelte das jedoch nicht in gleicher Weise, da gegen das Land bereits weitreichende Sanktionen verhängt worden seien und seine wirtschaftliche Aktivität stark eingeschränkt sei.