El actor de amenaza de Corea del Norte conocido como el Grupo Lazarus se ha relacionado con un implante JavaScript previamente indocumentado llamado Marstech1 como parte de ataques limitados dirigidos contra los desarrolladores.
La operación activa ha sido denominada Marstech Mayhem por SecurityScorecard, con el malware entregado por medio de un repositorio de código abierto alojado en GitHub asociado con un perfil llamado «Sucesivefriend». El perfil, activo desde julio de 2024, ya no es accesible en la plataforma de alojamiento de código.
El implante está diseñado para recopilar información del sistema y se puede integrar en sitios web y paquetes de NPM, lo que plantea un riesgo de cadena de suministro. La evidencia muestra que el malware surgió por primera vez a fines de diciembre de 2024. El ataque ha acumulado 233 víctimas confirmadas en los Estados Unidos, Europa y Asia.
«El perfil mencionó las habilidades de desarrollo web y la cadena de bloques de aprendizaje que está alineada con los intereses de Lázaro», dijo SecurityScorecard. «El actor de amenaza estaba cometiendo cargas útiles pre-obfuscadas y ofuscadas a varios repositorios de Github».
En un giro interesante, se ha encontrado que el implante presente en el repositorio de GitHub es diferente de la versión que se sirve directamente desde el servidor de comando y control (C2) al 74.119.194 (.) 129: 3000/j/marstech1, indicando que puede estar bajo desarrollo activo.
Su principal responsabilidad es buscar en los directorios de navegador basados en el cromo en diversos sistemas operativos y alterar configuraciones relacionadas con la extensión, particularmente aquellas relacionadas con la billetera de criptomonedas de metamask. También es capaz de descargar cargas útiles adicionales del mismo servidor en el puerto 3001.
Algunas de las otras billeteras dirigidas por el malware incluyen Exodus y Atomic en Windows, Linux y MacOS. Los datos capturados se exfiltran al punto final C2 «74.119.194 (.) 129: 3000/cargas».
«La introducción del implante Marstech1, con sus técnicas de ofuscación en capas, desde el aplanamiento del flujo de control y el cambio de nombre de la variable dinámica en JavaScript hasta el descifrado de XOR en múltiples etapas en Python, subraya el enfoque sofisticado del actor del actor para evadir el análisis estático y dinámico», la compañía «, la compañía», la compañía «, la compañía», la compañía «, la compañía», la compañía «, la compañía» dicho.
La divulgación se produce cuando el futuro registrado reveló que al menos tres organizaciones en el espacio más amplio de criptomonedas, una compañía de fabricación de mercado, un casino en línea y una compañía de desarrollo de software, fueron dirigidas como parte de la campaña de entrevistas contagiosa entre octubre y noviembre de 2024.
La firma de ciberseguridad está rastreando el clúster bajo el nombre de PurpleBravo, indicando que los trabajadores de TI de Corea del Norte detrás del esquema de empleo fraudulento están detrás de la amenaza de ciber espionaje. También se rastrea bajo los nombres CL-STA-0240, Famosa Chollima y Tenacious Pungsan.
«Las organizaciones que sin saberlo contratan trabajadores de TI de Corea del Norte pueden violar las sanciones internacionales, exponiéndose a repercusiones legales y financieras», dijo la compañía. «Más críticamente, estos trabajadores casi seguramente actúan como amenazas internas, robando información patentada, introduciendo traseros o facilitando operaciones cibernéticas más grandes».