تقرير برووف بوينت يقول إن أنشطة القراصنة المرتبطة بكوريا الشمالية تتطور من خلال استقطاب المطورين عبر مواضيع مثل التوظيف ومراجعة الشفرات، مستهدفة ما يقرب من 100 مؤسسة في مجالات المالية والتشفير والتعليم والتكنولوجيا. يقوم المهاجمون بتوجيه الضحايا عبر البريد الإلكتروني لنسخ مستودعات GitHub الخبيثة، وفتح المشاريع في VS Code أو Cursor، مما يؤدي إلى تنفيذ رمز خبيث عبر الأنظمة المختلفة. أطلقت برووف بوينت على هذا النشاط اسم UNK\_DeadDrop، وذكرت أنه يستخدم تقنية "فتح المجلد" التلقائية لمشروع VS Code، ويثبت ملحقات خبيثة تتنكر في شكل خدمات Google لسرقة بيانات مثل ملحقات محافظ المتصفح، والمحافظ المكتبية، والبيانات الاعتمادية. (The Hacker News)