開発者向けの採用選考やコードレビューを装ったルアーを活用し、攻撃者が管理するGitHubリポジトリを通じてクロスプラットフォーム対応マルウェアを配布する、持続的なフィッシングキャンペーンが確認されました。
UNK_DeadDropとして追跡されているこの作戦は、北朝鮮に関連する脅威アクターによるものと高い信頼度で帰属が判断されており、6週間にわたって250通以上のカスタマイズされたメールを送信することで、金融・暗号資産・教育・テクノロジーなど約100の組織を標的にしました。
この感染チェーンの特徴は、正規の開発者ワークフローを悪用している点にあります。メッセージにはGitHubリポジトリへのリンクが含まれており、自宅で取り組む採用課題やオープンソースプロジェクトを装って提示されていました。
Visual Studio CodeまたはCursorエディタで開くと、プラットフォーム固有のランチャーが実行され、悪意のあるVS Code拡張機能(VSIX)がインストールされるとともに、埋め込まれたペイロードがデコードされます。CursorはVS Codeとは異なり信頼確認ダイアログを表示しないため、ユーザーの操作なしにサイレント実行が可能です。
各リポジトリには隠し.vscodeフォルダが含まれており、フォルダを開いた際に自動実行されるよう設定されたtasks.jsonが格納されていました。
Proofpointの分析によると、このキャンペーンはOSごとに異なるペイロードを配布しています。LinuxおよびmacOSに対しては、オープンソースのOverlord C&Cフレームワークを基に開発されたネイティブGoバイナリが展開されます。
これらのバイナリは永続的なRATとして機能し、ブラウザの認証情報を収集するモジュール、暗号ウォレットを標的とした収集機能、そしてアンチフォレンジクスのクリーンアップ機能を備えています。
macOSの感染チェーンには、ユーザーのパスワードを詐取するための巧妙な偽システムダイアログを表示するMach-Oコンポーネントが含まれています。その後、Keychain ACLを改ざんし、昇格した権限でエージェントを再起動することで、Safe Storageキーとキーチェーンデータを全量窃取します。
北朝鮮ハッカー集団によるGitHub悪用の手口
Linux版はZenityダイアログとGNOME Keyringへのアクセス手法(Pythonベースのフォールバック技術を含む)を利用しており、同様に権限昇格を行ってシークレット情報を窃取します。
Windowsへの感染は異なるアーキテクチャを採用しており、攻撃はエディタのElectron/Nodeランタイム(ELECTRON_RUN_AS_NODE=1)上で完結します。
起動したパイプラインは、実行時にAES-GCMで保護された3つのペイロード(Node.jsエージェント、ウォレットスティーラー、認証情報窃取スクリプト)を復号し、ウォレット収集と認証情報窃取の2段階で動作します。
Windowsのスティーラーは35種類のウォレット拡張機能IDおよび複数のスタンドアロンウォレットアプリを標的としており、COMの権限昇格技術とボリュームシャドウコピーやロック済みデータベースへのバックアップアクセスを組み合わせることで、App-Bound Encryptionの保護機能の回避も試みます。
永続動作するLinux/macOS版のRATとは異なり、Windowsのパイプラインは収集したデータを同一のC2サーバーにアップロードした後、自己消去して終了します。
Proofpointの分析では、リポジトリは正規プロジェクトに見せかけるよう巧みに作られていたことが明らかになっています。プロフェッショナルなPython/Foundryのプロジェクト構成、動作するスクリプト、そして本物らしいドキュメントが揃えられていました。
テーマには、暗号資産の価格予測プラットフォーム、エクスプロイトアーカイブ、Foundry ERC-4626テスト、AI決済ツールなどが含まれていました。攻撃者は複数のアカウントを使ってビルドを繰り返し改良し、Vercelなどのサービス上にサポートページを開設していました。
インフラは2026年4月〜5月にかけて急速に整備されており、ドメインはNamecheapで登録され、メール送信にはMailgunやMailHostBoxなどのサービスが使用されました。
一部のドメイン(nemesis[.]workを含む)はAdvin Services LLCのIPアドレスをホスティングに使用しており、これらはUNK_DeadDropの初期キャンペーンで送信元IPとしても使用された、攻撃者が管理するサーバーと見られています(170.205.29[.]83および170.205.30[.]227)。
UNK_DeadDropは、開発者を標的としたContagious Interviewキャンペーンで過去に報告された手口(GitHubによる配信やVS Codeの悪用)を踏襲しています。ただし、配信規模、リポジトリ内への埋め込みペイロードの使用、UnixシステムにおけるOverlordの主要ペイロードとしての採用、CursorとVSIXの永続化を悪用したサイレント実行技術など、いくつかの点で異なります。
これらの相違点から、Proofpointは戦術的な重複があるものの、UNK_DeadDropを別個のクラスターとして分類しています。
このキャンペーンは、脅威アクターが開発者ツールや信頼性の高いコード共有プラットフォームを武器化して従来の防御をかいくぐる、という増加傾向を改めて示すものです。
防御側は、不審なリポジトリリンクや採用を装ったメールを慎重に扱い、IDEの信頼設定と拡張機能ポリシーを適切に管理し、タスクの自動実行を制限するとともに、異常な子プロセスの発生、予期しないVSIXのインストール、疑わしいC2エンドポイントへのWebSocketまたはHTTP POSTによる外部通信を監視することが重要です。
IOC(侵害指標)
| インジケーター | 種別 | 説明 | 初観測 |
| alex@contacttrixauvex[.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| alex@mailpredicttogether[.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| alex@predicttocareer[.]space | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| alex@pulsynk[.]org | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| alex@trixauvexnet[.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink] | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]space | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]org | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]xyz | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]org | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]org | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]us | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]org | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]space | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]us | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]org | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]org | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]org | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]space | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]ink | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| [email protected][.]org] | メールアドレス | 攻撃者管理のメールアドレス | 2026年5月 |
| dalbir@empowerpharmacy[.]space | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| dianaberendi@nxlog[.]tech | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| gusb@ondofinance[.]tech | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| jasen@empowerpharmacy[.]space | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| joshc@ondofinance[.]tech | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| jovanav@nxlog[.]tech | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| michaelw@ondofinance[.]tech | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| neila@ondofinance[.]tech | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| oladotuna@ondofinance[.]tech | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| sarikasinha@nxlog[.]tech | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| sladjanas@nxlog[.]tech | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| valerie@empowerpharmacy[.]space | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| vanjamirkovic@nxlog[.]tech | メールアドレス | 攻撃者管理のメールアドレス | 2026年4月 |
| nemesistrade[.]work | ドメイン | 関連インフラ | 2026年5月 |
| ceronet[.]work | ドメイン | 関連インフラ | 2026年5月 |
| deep-ai-guard[.]store | ドメイン | 関連インフラ | 2026年5月 |
| ceronetwork[.]org | ドメイン | 関連インフラ | 2026年5月 |
| culyrax[.]us | ドメイン | 関連インフラ | 2026年5月 |
| elsavora[.]us | ドメイン | 関連インフラ | 2026年5月 |
| optixauvex[.]us | ドメイン | 関連インフラ | 2026年5月 |
| recruitvex[.]us | ドメイン | 送信元ドメイン | 2026年5月 |
| talentnexhr[.]ink | ドメイン | 関連インフラ | 2026年5月 |
| onoplanoai[.]ink | ドメイン | 送信元ドメイン | 2026年5月 |
| trixauvexnet[.]ink | ドメイン | 送信元ドメイン | 2026年5月 |
| recruitptogether[.]xyz | ドメイン | 関連インフラ | 2026年5月 |
| contactpredicttogether[.]ink | ドメイン | 関連インフラ | 2026年5月 |
| connectptogether[.]ink | ドメイン | 関連インフラ | 2026年5月 |
| notifypulsynk[.]ink | ドメイン | 関連インフラ | 2026年5月 |
| contactpulsynk[.]ink | ドメイン | 関連インフラ | 2026年5月 |
| contacttrixauvex[.]ink | ドメイン | 送信元ドメイン | 2026年5月 |
| trixauvex[.]org | ドメイン | 送信元ドメイン | 2026年5月 |
| careertrixauvex[.]ink | ドメイン | 関連インフラ | 2026年5月 |
| cotrixauvex[.]ink | ドメイン | 関連インフラ | 2026年5月 |
| pulsynk[.]org | ドメイン | 送信元ドメイン | 2026年5月 |
| mailtrixauvex[.]ink | ドメイン | 送信元ドメイン | 2026年5月 |
| teampulsynk[.]team | ドメイン | 関連インフラ | 2026年5月 |
| careerpulsynk[.]xyz | ドメイン | 関連インフラ | 2026年5月 |
| mailpulsynk[.]xyz | ドメイン | 送信元ドメイン | 2026年5月 |
| mailpredicttogether[.]ink | ドメイン | 送信元ドメイン | 2026年5月 |
| predicttogetherrecruit[.]store | ドメイン | 関連インフラ | 2026年5月 |
| predicttogerecruit[.]store | ドメイン | 関連インフラ | 2026年5月 |
| predicttogether[.]ink | ドメイン | 関連インフラ | 2026年5月 |
| careerpredictto[.]space | ドメイン | 関連インフラ | 2026年5月 |
| togetherhire[.]fun | ドメイン | 関連インフラ | 2026年5月 |
| predictcareertogether[.]space | ドメイン | 関連インフラ | 2026年5月 |
| predicttocareer[.]space | ドメイン | 送信元ドメイン | 2026年5月 |
| nowurisch[.]fit | ドメイン | 送信元ドメイン | 2026年5月 |
| hyperdevpipline[.]org | ドメイン | 送信元ドメイン | 2026年5月 |
| asteara[.]org | ドメイン | 関連インフラ | 2026年4月 |
| doxxela[.]ink | ドメイン | 関連インフラ | 2026年4月 |
| coslyintra[.]online | ドメイン | 関連インフラ | 2026年4月 |
| valorecuiting[.]online | ドメイン | 送信元ドメイン | 2026年4月 |
| onoplainai[.]ink | ドメイン | 関連インフラ | 2026年4月 |
| raxvatange[.]ink | ドメイン | 関連インフラ | 2026年4月 |
| alphanonega[.]org | ドメイン | 関連インフラ | 2026年4月 |
| domatisc[.]ink | ドメイン | 関連インフラ | 2026年4月 |
| migadyn[.]info | ドメイン | 送信元ドメイン | 2026年4月 |
| empowerpharmacy[.]space | ドメイン | 送信元ドメイン | 2026年4月 |
| nxlog[.]tech | ドメイン | 送信元ドメイン | 2026年4月 |
| ondofinance[.]tech | ドメイン | 送信元ドメイン | 2026年4月 |
| 170.205.29[.]83 | IPアドレス | 送信元IP | 2026年4月 |
| 170.205.30[.]227 | IPアドレス | 送信元IP | 2026年4月 |
| hxxps://github[.]com/Pulsynk/pulsynk | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://github[.]com/Trixauvex-org/trixauvex | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://github[.]com/PedrinPY/rekt-db | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://github[.]com/sr-werney/forge-4626invariants | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://github[.]com/wayout4u/rekt-db | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://github[.]com/ziobiri/forge-4626-invariants | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://github[.]com/skyjum/x402-kit | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://github[.]com/Stomp47/rekt-db | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://github[.]com/mireles343/forge-4626invariants | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://gitlab[.]com/pulsynk-org/rekt-db.git | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://gitlab[.]com/trixauvex-org/x402-kit.git | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://gitlab[.]com/predict-together/forge-4626invariants.git | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| hxxps://github[.]com/rkama411/x402-kit | URL | 攻撃者管理のGitHubリポジトリ | 2026年5月 |
| 23.137.105[.]75 | IPアドレス | C&C IP | 2026年5月 |
| 35813f4401d3ad77b618275473a556eb47bfa6f4b7439dd8943b19f81aa7252e | SHA256 | settings.json | 2026年5月 |
| c935808147f0236c81483d7bbeda4b9d602f3595d5d4057f8115d39e222d1c4b | SHA256 | tasks.json | 2026年5月 |
| 4c0d9b802c075be79e9edb52d88f8dd72e6904f5c58267213745818470945c78 | SHA256 | run-update-hidden-launch.vbs | 2026年5月 |
| 62761f38ed194c59abe15c49f09f0ebc431ac852c965180c9327ed84d3a454fb | SHA256 | run-update.cmd | 2026年5月 |
| d3ebce2f05fe91a8260e87fd11a6ea17c156703d081b3f91d9bbe5fd6aeedc10 | SHA256 | gus-node-bootstrap.js | 2026年5月 |
| 91b9381d19b2e6a2db5cc0307167979b502731cb3fb50da684479e9ed35261aa | SHA256 | windows-agent-node.js.enc | 2026年5月 |
| 6cf9f7b2aa456a0b438600588df869b38d8007e28f01fa96022f9d8059f120b0 | SHA256 | windows-js-pipeline.js.enc | 2026年5月 |
| 2812e0847d472cb8870c94f463331dbe53b84135132b9bf5f6d84c2382be628f | SHA256 | detect_malware.py.enc | 2026年5月 |
| 52886aab179f26421678ff23af1b0fabf0a17ffbb534369cdbbac8008cbed8e7 | SHA256 | google-update-support.vsix | 2026年5月 |
| d5e9288693aa745dc89368deac677e7ea1ec81e663283af30838cdae189b7a7e | SHA256 | extension.js | 2026年5月 |
| 734699773e53d995f20d485eb61261033d9d00b4332b39ca26071bcd60cd352f | SHA256 | run-update.sh | 2026年5月 |
| e1bf1b29e6fa3525d7f32f429290a88d6ea2890e61c06574b8ff6372aa5d0667 | SHA256 | google-update-support-agent.zip | 2026年5月 |
| a2b9a769df84d9d3a4694bb0252a2c6a5e5f5d1a85a04565362737092bbb3a86 | SHA256 | google-update-support-linux-amd64 | 2026年5月 |
| bb10adac5b0124efedfe71102c1d5638135ec9e1cde8c8cb3353c5ed91bb9f81 | SHA256 | google-update-support-darwin-amd64 | 2026年5月 |
| 339907b44f161f57ff30819f422c552382ff437b3ae437463b4222cfe86bd943 | SHA256 | google-update-support-darwin-arm64 | 2026年5月 |
| 808e7154b7af2bc7a4b28d577297c55f77221c355191cbe00f9f1810b6d4a619 | SHA256 | darwin-password-prompt | 2026年5月 |
注意: IPアドレスおよびドメインは、誤ったアクセスやハイパーリンク化を防ぐため、意図的にdefang処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
翻訳元: https://gbhackers.com/north-korea-hackers-weaponize-github/