Nach einem Bericht von Proofpoint verschickte der Akteur über einen Zeitraum von sechs Wochen mehr als 250 E-Mails an Personen in fast 100 Organisationen. Mehr als 75 Prozent der anvisierten Einrichtungen befinden sich in den USA, gefolgt von Großbritannien, Australien, Frankreich, Brasilien, Deutschland, Indien, Israel, Japan und den Niederlanden.

Die E-Mails verlinkten auf von den Angreifern kontrollierte GitHub-Repositories, die als technische Aufgaben oder kryptowährungsbezogene Projekte getarnt waren. Empfänger sollten die Repositorys klonen und in VS Code oder Cursor öffnen. In späteren Ködern, die Proofpoint im Mai 2026 beobachtete, baten die Angreifer die Ziele stattdessen darum, ihre Open-Source-Projekte zu überprüfen.

Laut den Proofpoint-Forschern Saher Naumaan und Carlos Rubio beginnt die Infektionskette mit solchen E-Mails und führt zur Ausführung plattformübergreifender Malware für macOS, Linux und Windows, darunter ein quelloffenes Go-Framework namens Overlord. Der eingesetzte Loader besteht unter macOS und Linux aus einem Shell-Skript, unter Windows aus einem VBScript. Seine Aufgabe ist die Installation einer schädlichen VS-Code-Erweiterung im VSIX-Format, die sich als legitimer Google-Dienst tarnt.

Diese Erweiterung kommuniziert mit einem externen Server, um die ferngesteuerte Ausführung von Befehlen, Systemaufklärung und die Exfiltration von Daten aus Browser-Wallet-Erweiterungen, Zugangsdaten und Desktop-Wallet-Anwendungen zu ermöglichen. Unter Linux und macOS führt die Infektionskette zu einer angepassten Version des offenen Overlord-Frameworks mit Fähigkeiten zum Datendiebstahl. Zudem fordert sie Nutzer mit einem gefälschten Sicherheitsdialog zur Eingabe ihres Systempassworts auf. Unter Windows startet das VBScript eine CMD-Datei, die anschließend die Erweiterung installiert.

Das erklärte Ziel bleibe gleich, so Proofpoint: Zugangsdaten und Daten aus Wallet-Erweiterungen im Browser sowie aus Anwendungen zu stehlen und die Ergebnisse per HTTP-POST an den Server „23.137.105[.]75:5173“ zu übermitteln. Im Unterschied zur Linux- und macOS-Variante halte die Windows-Kette keine dauerhafte Verbindung aufrecht, sondern lade ZIP-Dateien hoch, räume auf und beende sich.

Proofpoint zufolge verteilte der Akteur zuvor eine Windows-Go-Binärdatei von Overlord, ist inzwischen aber auf die neue Methode umgestiegen, vermutlich um einer Erkennung zu entgehen. Das Unternehmen verfolgt UNK_DeadDrop dennoch getrennt von Contagious Interview, unter anderem wegen Unterschieden beim Erstzugang — LinkedIn dort, E-Mail hier — sowie wegen der Nutzung des Overlord-Frameworks statt der bislang mit der Gruppe verbundenen Malware-Familien BeaverTail, InvisibleFerret und OtterCookie.

Proofpoint wertet die Aktivität als Hinweis darauf, dass auf finanziellen Gewinn ausgerichtete, nordkoreanisch ausgerichtete Operationen gegen Entwickler reifer werden und sich weiterentwickeln. Der Wechsel von aktiver Kontaktaufnahme über soziale Plattformen für fingierte Bewerbungsgespräche hin zu groß angelegten Phishing-Kampagnen mit Links auf schädliche Repositorys könne darauf hindeuten, dass ein Akteur seine Operationen industrialisiert und skaliert.

Parallel dazu meldete Yeeth Security drei schädliche VS-Code-Erweiterungen im offiziellen Marketplace: „ByteBinTools.jupyter-powerdev-2026.6.8.vsix“, „ToolCraft.jupyter-powertools-3.21.0.vsix“ und „OLDev.markdown-mode-devtools-2.1.0.vsix“. Sie gaben sich als nützliche Produktivitätswerkzeuge für Jupyter Notebook aus, seien tatsächlich aber eine „ausgefeilte, mehrstufige Hintertür“, die darauf ausgelegt sei, Endpunktschutz zu umgehen.

Nach Angaben von Yeeth Security kann der Kommando-und-Kontroll-Kanal nicht nur Befehle oder Skripte ausführen, sondern auch einen dritten Befehlstyp namens „host_action“ verwenden. Dieser ermöglicht Dateioperationen wie pwd, ls, cd und cat sowie das Hoch- und Herunterladen von Dateien. Eine direkte Überschneidung mit öffentlich dokumentierten nordkoreanischen Kampagnen gebe es zwar nicht, doch die Aufteilung der Entwicklerwerkzeuge zwischen JavaScript und Python erinnere an Contagious Interview. Zudem weise der Authentifizierungsmechanismus über die Microsoft Graph API Ähnlichkeiten mit den von S2 Grupo LAB52 im Oktober 2025 beschriebenen Dream-Job-Angriffen der Lazarus Group auf.