Proofpoint zufolge verschickten die Angreifer innerhalb von sechs Wochen mehr als 250 E-Mails an Personen in fast 100 Organisationen. Betroffen waren Unternehmen und Einrichtungen aus den Bereichen Finanzen, Kryptowährungen, Bildung, Technologie und weiteren Sektoren. Mehr als 75 Prozent der anvisierten Organisationen saßen in den USA; danach folgten Großbritannien, Australien, Frankreich, Brasilien, Deutschland, Indien, Israel, Japan und die Niederlande.

Die E-Mails verlinkten auf GitHub-Repositories, die sich als technische Aufgaben oder kryptowährungsbezogene Projekte ausgaben. Die Empfänger sollten das Repository klonen und in VS Code oder Cursor öffnen. Genau an diesem Punkt setzte die Infektionskette an: Je nach Betriebssystem starteten Loader für Linux, macOS oder Windows. Spätere Köder, die Proofpoint im Mai 2026 beobachtete, verlagerten den Ansatz und forderten die Ziele stattdessen auf, Open-Source-Projekte zu begutachten.

Der Loader besteht auf macOS und Linux aus einem Shell-Skript, unter Windows aus einem VBScript. Seine Aufgabe ist die Installation einer schädlichen VS-Code-Erweiterung im VSIX-Format, die sich als legitimer Google-Dienst tarnt. Gleichzeitig kommuniziert sie mit einem externen Server, um die ferngesteuerte Ausführung von Befehlen, Systemaufklärung und die Exfiltration von Daten aus Browser-Wallet-Erweiterungen, Zugangsdaten und Desktop-Wallet-Anwendungen zu ermöglichen.

Auf Linux und macOS führt die Kette zu einer angepassten Version des quelloffenen Go-Frameworks Overlord, die Funktionen für Datendiebstahl mitbringt. Außerdem blendet sie ein gefälschtes Sicherheitsfenster ein, das Nutzer zur Eingabe ihres Systempassworts auffordert. Unter Windows startet das VBScript eine CMD-Datei, die anschließend die Erweiterung installiert. Proofpoint zufolge unterscheidet sich die Windows-Kette dabei in einem Punkt: Anders als der Agent für Linux und macOS halte sie keine dauerhafte Verbindung aufrecht, sondern lade ZIP-Dateien hoch, räume Spuren auf und beende sich.

Als Ziel der Kampagne nennt Proofpoint den Diebstahl von Zugangsdaten und Daten aus Wallet-Erweiterungen im Browser sowie aus Wallet-Anwendungen. Die Ergebnisse würden per HTTP-POST an den Server „23.137.105[.]75:5173“ übertragen. Die Forscher fanden zudem Hinweise darauf, dass der Akteur zuvor eine Windows-Go-Binärdatei von Overlord verbreitete, inzwischen aber auf die neue Methode umgestiegen ist, mutmaßlich um Entdeckung zu vermeiden.

Proofpoint führt UNK_DeadDrop getrennt von Contagious Interview, obwohl es Überschneidungen gibt. Begründet wird das mit Unterschieden beim Erstzugang – LinkedIn im einen Fall, E-Mail im anderen – sowie mit der Nutzung des Overlord-Frameworks statt der Malware-Familien BeaverTail, InvisibleFerret und OtterCookie, die die nordkoreanische Gruppe bislang typischerweise eingesetzt habe. Das Unternehmen wertet die Aktivität als Hinweis darauf, dass auf finanziellen Gewinn ausgerichtete, Nordkorea zugeordnete Operationen gegen Entwickler reifer werden und sich weiterentwickeln.

Zusätzlich meldete Yeeth Security drei schädliche VS-Code-Erweiterungen im offiziellen Marketplace: „ByteBinTools.jupyter-powerdev-2026.6.8.vsix“, „ToolCraft.jupyter-powertools-3.21.0.vsix“ und „OLDev.markdown-mode-devtools-2.1.0.vsix“. Sie geben sich als Produktivitätswerkzeuge für Jupyter Notebook aus, sind laut Yeeth Security aber eine „ausgefeilte, mehrstufige Hintertür“, die dafür entwickelt wurde, Endpunktschutz zu umgehen. Der Befehls- und Steuerkanal könne nicht nur Befehle oder Skripte ausführen, sondern mit einem dritten Befehlstyp namens „host_action“ auch Dateisystemfunktionen wie pwd, ls, cd und cat sowie Datei-Uploads und -Downloads auslösen.

Yeeth Security erklärte, es gebe keine direkte Überschneidung mit einer öffentlich dokumentierten nordkoreanischen Kampagne. Dennoch erinnere die Aufteilung der Entwicklerwerkzeuge zwischen JavaScript und Python an Contagious Interview. Zudem weise der Authentifizierungsmechanismus über die Microsoft Graph API gewisse Ähnlichkeiten mit den von S2 Grupo LAB52 im Oktober 2025 beschriebenen Dream-Job-Angriffen der Lazarus Group auf.