L’attore della minaccia nordcoreana noto come il Gruppo Lazzaro è stato collegato a un impianto Javascript precedentemente non documentato chiamato Marstech1 come parte di attacchi mirati limitati contro gli sviluppatori.
L’operazione attiva è stata soprannominata Marstech Mayhem da SecurityScoreCard, con il malware consegnato per mezzo di un repository open supply ospitato su GitHub che è associato a un profilo chiamato “Successfriend”. Il profilo, attivo dal luglio 2024, non è più accessibile sulla piattaforma di internet hosting di codice.
L’impianto è progettato per raccogliere informazioni sul sistema e può essere incorporato all’interno di siti Internet e pacchetti NPM, ponendo un rischio della catena di approvvigionamento. Le show mostrano che il malware è emerso per la prima volta alla tremendous di dicembre 2024. L’attacco ha accumulato 233 vittime confermate negli Stati Uniti, in Europa e in Asia.
“Il profilo ha menzionato le competenze Internet Dev e l’apprendimento della blockchain che è in linea con gli interessi di Lazzaro”, SecurityScoreCard disse. “L’attore delle minacce stava commettendo payload pre-essenziale e offuscato in vari repository di GitHub.”
In una svolta interessante, l’impianto presente nel repository GitHub è risultato diverso dalla versione servita direttamente dal server di comando e controllo (C2) al 74.119.194 (.) 129: 3000/J/Marstech1 che può essere in fase di sviluppo attivo.
La sua responsabilità principale è quella di cercare nelle listing del browser a base di cromo in vari sistemi operativi e modificare le impostazioni relative all’estensione, in particolare quelle relative al portafoglio di criptovaluta Metamask. È inoltre in grado di scaricare ulteriori payload dallo stesso server sulla porta 3001.
Alcuni degli altri portafogli mirati dal malware includono Esodo e Atomic su Home windows, Linux e MacOS. I dati acquisiti vengono quindi esfiltrati all’endpoint C2 “74.119.194 (.) 129: 3000/add”.
Ryan Sherstobitoff, vicepresidente senior di Minaped Analysis and Intelligence presso SecurityScoreCard, ha dichiarato a Hacker Information che il file JavaScript dannoso è stato impiantato anche in selezionati pacchetti NPM che facevano parte dei progetti di criptovaluta.
“L’introduzione dell’impianto Marstech1, con le sue tecniche di offuscamento a strati-dal flusso di controllo appiattimento e una ridenominazione delle variabili dinamiche in JavaScript alla decryption XOR multi-stage in Python-sottolinea l’approccio sofisticato dell’attore di minaccia per eludere l’analisi statica e dinamica”, la società “. disse.
La divulgazione arriva quando il futuro registrato ha rivelato che almeno tre organizzazioni nello spazio di criptovaluta più ampio, una società di mercato, un casinò on-line e una società di sviluppo software program, sono state mirate come parte del Intervista contagiosa campagna tra ottobre e novembre 2024.
La società di sicurezza informatica sta monitorando il cluster con il nome di Purplebravo, affermando il Lavoratori IT nordcoreani Dietro il Schema di lavoro fraudolento sono dietro la minaccia di spionaggio informatico. È anche monitorato con i nomi CL-STA-0240, il famoso chollima e Tenacious Pungsan.
“Le organizzazioni che assumono inconsapevolmente i lavoratori IT della Corea del Nord possono violazione delle sanzioni internazionali, esponendosi a ripercussioni legali e finanziarie”, la società disse. “Più criticamente, questi lavoratori fungono quasi certamente come minacce privilegiate, rubando informazioni proprietarie, introducendo backdoor o facilitando le più grandi operazioni informatiche.”
