O ator de ameaça da Coréia do Norte conhecido como Lazarus Group foi associado a um implante de JavaScript anteriormente não documentado chamado "Marstech1", como parte de ataques direcionados e limitados contra desenvolvedores.
A operação ativa foi denominada Marstech Mayhem pela SecurityScorecard, com o malware sendo entregue por meio de um repositório de código aberto hospedado no GitHub, associado a um perfil chamado "SuccessFriend".
O perfil, ativo desde julho de 2024, já não está mais acessível na plataforma de hospedagem de código.
O implante é projetado para coletar informações do sistema e pode ser incorporado em sites e pacotes NPM, representando um risco para a cadeia de suprimentos.
As evidências mostram que o malware surgiu pela primeira vez no final de dezembro de 2024.
O ataque acumulou 233 vítimas confirmadas nos EUA, Europa e Ásia.
"O perfil mencionado descrevia habilidades em desenvolvimento web e aprendizado sobre blockchain, o que está em alinhamento com os interesses do Lazarus," disse a SecurityScorecard.
O ator de ameaça estava enviando payloads úteis pré-ofuscadas e ofuscadas para vários repositórios no GitHub.
Em uma reviravolta interessante, descobriu-se que o implante presente no repositório do GitHub é diferente da versão fornecida diretamente do servidor de comando e controle (C2) em 74.119.194[.]129:3000/j/marstech1, indicando que ele pode estar sob desenvolvimento ativo.
Sua principal responsabilidade é procurar nos diretórios de navegadores baseados em Chromium em vários sistemas operacionais e alterar configurações relacionadas a extensões, particularmente aquelas relacionadas à carteira de criptomoedas MetaMask.
Ele também é capaz de baixar payloads úteis adicionais do mesmo servidor na porta 3001.
Algumas das outras carteiras visadas pelo malware incluem Exodus e Atomic no Windows, Linux e macOS.
Os dados capturados são então exfiltrados para o endpoint C2 "74.119.194[.]129:3000/uploads.
Ryan Sherstobitoff, vice-presidente sênior de Pesquisa de Ameaças e Inteligência na SecurityScorecard, disse ao The Hacker News que o arquivo JavaScript malicioso também foi implantado em pacotes NPM selecionados que faziam parte de projetos de criptomoedas.
"A introdução do implante Marstech1, com suas técnicas de ofuscação em camadas — desde o achatamento de fluxo de controle e renomeação dinâmica de variáveis em JavaScript até a descriptografia XOR em múltiplos estágios em Python — sublinha a abordagem sofisticada do ator de ameaça para evitar tanto a análise estática quanto a dinâmica," disse a empresa.
A revelação vem à medida que a Recorded Future revelou que pelo menos três organizações no espaço mais amplo das criptomoedas, uma empresa de market making, um cassino online e uma empresa de desenvolvimento de software, foram alvo como parte da campanha Contagious Interview entre outubro e novembro de 2024.
A firma de cibersegurança está rastreando o cluster sob o nome PurpleBravo, afirmando que os trabalhadores de TI norte-coreanos por trás do esquema fraudulento de emprego estão por trás da ameaça de espionagem cibernética.
Também é rastreado sob os nomes CL-STA-0240, Famous Chollima e Tenacious Pungsan.
"As organizações que contratam trabalhadores de TI norte-coreanos sem saber podem estar violando sanções internacionais, expondo-se a repercussões legais e financeiras," disse a empresa.
Mais criticamente, esses trabalhadores quase certamente agem como ameaças internas, roubando informações proprietárias, introduzindo portas dos fundos ou facilitando operações cibernéticas maiores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...