تقرير برووف بوينت يقول إن أنشطة القراصنة المرتبطة بكوريا الشمالية تتطور من خلال استقطاب المطورين عبر مواضيع مثل التوظيف ومراجعة الشفرات، مستهدفة ما يقرب من 100 مؤسسة في مجالات المالية والتشفير والتعليم والتكنولوجيا. يقوم المهاجمون بتوجيه الضحايا عبر البريد الإلكتروني لنسخ مستودعات GitHub الخبيثة، وفتح المشاريع في VS Code أو Cursor، مما يؤدي إلى تنفيذ رمز خبيث عبر الأنظمة الأساسية. أطلق برووف بوينت على هذا النشاط اسم UNK_DeadDrop، وذكر أنه يستخدم تقنية "فتح المجلد" التلقائية لمشروع VS Code، ويثبت ملحقات خبيثة تتنكر في شكل خدمات Google لسرقة بيانات محافظ المتصفح، والمحافظ المكتبية، والاعتمادات. (The Hacker News)