Proofpoint 报告称，与朝鲜相关的黑客活动正通过招聘、代码审查等主题钓鱼攻击开发者，目标覆盖金融、加密、教育、科技等近 100 家机构。攻击者通过邮件引导受害者克隆恶意 GitHub 仓库，并在 VS Code 或 Cursor 中打开项目，从而触发跨平台恶意代码执行。Proofpoint 将该活动命名为 UNK_DeadDrop，称其使用 VS Code 项目“folderOpen 自动执行”技术，并安装伪装成 Google 服务的恶意扩展，以窃取浏览器钱包扩展、桌面钱包、凭证等数据。（The Hacker News）