O ator de ameaça da Coréia do Norte conhecido como Lazarus Group foi associado a um implante de JavaScript anteriormente não documentado chamado "Marstech1", como parte de ataques direcionados e limitados contra desenvolvedores.
A operação ativa foi denominada Marstech Mayhem pela SecurityScorecard, com o malware sendo entregue por meio de um repositório de código aberto hospedado no GitHub, associado a um perfil chamado "SuccessFriend".
O perfil, ativo desde julho de 2024, já não está mais acessível na plataforma de hospedagem de código.
O implante é projetado para coletar informações do sistema e pode ser incorporado em sites e pacotes NPM, representando um risco para a cadeia de suprimentos.
As evidências mostram que o malware surgiu pela primeira vez no final de dezembro de 2024.
O ataque acumulou 233 vítimas confirmadas nos EUA, Europa e Ásia.
"O perfil mencionado descrevia habilidades em desenvolvimento web e aprendizado sobre blockchain, o que está em alinhamento com os interesses do Lazarus," disse a SecurityScorecard.
O ator de ameaça estava enviando payloads úteis pré-ofuscadas e ofuscadas para vários repositórios no GitHub.
Em uma reviravolta interessante, descobriu-se que o implante presente no repositório do GitHub é diferente da versão fornecida diretamente do servidor de comando e controle (C2) em 74.119.194[.]129:3000/j/marstech1, indicando que ele pode estar sob desenvolvimento ativo.
Sua principal responsabilidade é procurar nos diretórios de navegadores baseados em Chromium em vários sistemas operacionais e alterar configurações relacionadas a extensões, particularmente aquelas relacionadas à carteira de criptomoedas MetaMask.
Ele também é capaz de baixar payloads úteis adicionais do mesmo servidor na porta 3001.
Algumas das outras carteiras visadas pelo malware incluem Exodus e Atomic no Windows, Linux e macOS.
Os dados capturados são então exfiltrados para o endpoint C2 "74.119.194[.]129:3000/uploads.
Ryan Sherstobitoff, vice-presidente sênior de Pesquisa de Ameaças e Inteligência na SecurityScorecard, disse ao The Hacker News que o arquivo JavaScript malicioso também foi implantado em pacotes NPM selecionados que faziam parte de projetos de criptomoedas.
"A introdução do implante Marstech1, com suas técnicas de ofuscação em camadas — desde o achatamento de fluxo de controle e renomeação dinâmica de variáveis em JavaScript até a descriptografia XOR em múltiplos estágios em Python — sublinha a abordagem sofisticada do ator de ameaça para evitar tanto a análise estática quanto a dinâmica," disse a empresa.
A revelação vem à medida que a Recorded Future revelou que pelo menos três organizações no espaço mais amplo das criptomoedas, uma empresa de market making, um cassino online e uma empresa de desenvolvimento de software, foram alvo como parte da campanha Contagious Interview entre outubro e novembro de 2024.
A firma de cibersegurança está rastreando o cluster sob o nome PurpleBravo, afirmando que os trabalhadores de TI norte-coreanos por trás do esquema fraudulento de emprego estão por trás da ameaça de espionagem cibernética.
Também é rastreado sob os nomes CL-STA-0240, Famous Chollima e Tenacious Pungsan.
"As organizações que contratam trabalhadores de TI norte-coreanos sem saber podem estar violando sanções internacionais, expondo-se a repercussões legais e financeiras," disse a empresa.
Mais criticamente, esses trabalhadores quase certamente agem como ameaças internas, roubando informações proprietárias, introduzindo portas dos fundos ou facilitando operações cibernéticas maiores.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...