EVERYTHING
За даними Intelligentciso, фахівці з кібербезпеки Proofpoint виявили новий кластер загроз під назвою UNK_DeadDrop, що діє в інтересах Північної Кореї. Протягом короткого періоду активність групи охопила широкий спектр секторів, включаючи технологічні стартапи, фінансові установи та освітні центри. Головною особливістю цієї кампанії став відхід від традиційного соціального інжинірингу на користь технічно складніших методів проникнення через інструментарій розробника.
Еволюція методів проникнення
Згідно зі звітом Intelligentciso, зловмисники створюють легітимні на вигляд репозиторії на GitHub та заманюють фахівців пропозиціями про співпрацю або проведення код-рев’ю. Після встановлення контакту девелоперам пропонують скористатися специфічними розширеннями для Visual Studio Code або популярного AI-редактора Cursor. Ці доповнення містять приховані бекдори, що дозволяють хакерам отримувати доступ до облікових даних браузерів, секретних ключів API та криптовалютних гаманців.
«Ця операція демонструє, як суб'єкти загроз дедалі частіше націлюються на екосистему розробки програмного забезпечення та інструменти, якими програмісти користуються щодня», — зазначають аналітики Proofpoint. Використання Cursor, який базується на великих мовних моделях, підкреслює адаптивність хакерів до новітніх трендів у галузі. Вони не просто крадуть дані, а намагаються встановити тривалу присутність у системах жертв, що дозволяє відстежувати розробку нових продуктів ще до їхнього релізу.
Ризики для екосистеми розробки
Атаки через UNK_DeadDrop виявилися надзвичайно ефективними завдяки високому рівню довіри всередині open-source спільноти. У списку цілей опинилися навіть великі криптовалютні біржі, де компрометація одного розробника може призвести до багатомільйонних збитків. Для мінімізації ризиків експерти рекомендують впроваджувати наступні заходи:
- Ретельна перевірка сторонніх розширень для IDE перед їх встановленням у корпоративному середовищі;
- Використання апаратних ключів безпеки для доступу до GitHub та внутрішніх систем контролю версій;
- Моніторинг мережевої активності середовищ розробки на предмет нетипових з’єднань із закордонними серверами;
- Проведення регулярних тренінгів із кібергігієни для технічного персоналу, орієнтованих на виявлення складного фішингу.
Прогноз та наслідки
Зростання активності UNK_DeadDrop свідчить про те, що ланцюжки постачання програмного забезпечення залишаються однією з найвразливіших ланок сучасної ІТ-інфраструктури. Організаціям необхідно переглянути свою політику довіри до зовнішнього коду та сторонніх інструментів автоматизації. Подальше ігнорування безпеки середовищ розробки може призвести до глобальних витоків конфіденційної інформації вже найближчим часом. Посилення контролю за використанням AI-інструментів стане ключовим викликом для CISO у 2026 році.