De Noord -Koreaanse dreigingsacteur die bekend staat als de Lazarus -groep is gekoppeld aan een eerder JavaScript -implantaat zonder papieren genaamd Marstech1 als onderdeel van beperkte gerichte aanvallen tegen ontwikkelaars.
De actieve bewerking is door SecurityScoreCard Marstech Mayhem nagesynchroniseerd, waarbij de malware wordt geleverd door middel van een open-source repository gehost op GitHub die is geassocieerd met een profiel genaamd “SuccessFriend”. Het profiel, actief sinds juli 2024, is niet langer toegankelijk op het codehostingplatform.
Het implantaat is ontworpen om systeeminformatie te verzamelen en kan worden ingebed in websites en NPM -pakketten, waardoor een supply chain -risico wordt geleverd. Bewijs toont aan dat de malware voor het eerst ontstond eind december 2024. De aanval heeft 233 bevestigde slachtoffers verzameld in de VS, Europa en Azië.
“Het profiel genoemde Web Dev -vaardigheden en het leren van blockchain die in overeenstemming is met de belangen van Lazarus,” zei SecurityScoreCard. “De dreigingsacteur pleegde zowel vooraf geobsfiseerde als verdoezelde ladingen aan verschillende GitHub-repositories.”
In een interessante wending is het implantaat dat aanwezig is in de GitHub-repository, anders gebleken dan de versie die rechtstreeks van de Command-and-Control (C2) -server wordt geserveerd op 74.119.194 (.) 129: 3000/J/Marstech1, die aangeeft dat het mogelijk onder actieve ontwikkeling staat.
De voornaamste verantwoordelijkheid is om te zoeken naar over chroom gebaseerde browsermappen in verschillende besturingssystemen en het wijzigen van extensiegerelateerde instellingen, met name die gerelateerd aan de metamask cryptocurrency-portemonnee. Het is ook in staat om extra payloads van dezelfde server op poort 3001 te downloaden.
Sommige van de andere portefeuilles die door de malware zijn gericht, zijn uit Exodus en Atomic op Windows, Linux en MacOS. De vastgelegde gegevens worden vervolgens geëxfiltreerd naar het C2 -eindpunt “74.119.194 (.) 129: 3000/uploads.”
“De introductie van het Marstech1-implantaat, met zijn gelaagde obfuscatietechnieken-van controlestroomafvlakking en dynamische variabele hernoeming in JavaScript tot multi-fase XOR-decryptie in Python-onderstreept de geavanceerde benadering van de dreigingsacteur om zowel statische als dynamische analyse te ontwijken,” het bedrijf gezegd.
Uit de openbaarmaking komt als opgenomen toekomst onthulde dat ten minste drie organisaties in de bredere cryptocurrency-ruimte, een marktbedrijf, een online casino en een softwareontwikkelingsbedrijf, het doelwit waren van de besmettelijke interviewcampagne tussen oktober en november 2024.
Het cybersecuritybedrijf volgt het cluster onder de naam PurpleBravo, waarin staat dat de Noord -Koreaanse IT -arbeiders achter het frauduleuze werkgelegenheidsschema achter de cyberspionagedreiging staan. Het wordt ook gevolgd onder de namen CL-STA-0240, Beroemde Chollima en vasthoudende Pungsan.
“Organisaties die onbewust Noord -Koreaanse IT -werknemers inhuren, kunnen internationale sancties schenden en zich blootstellen aan juridische en financiële gevolgen,” zei het bedrijf. “Meer kritisch, deze werknemers fungeren vrijwel zeker als insider -bedreigingen, stelen ze eigendomsinformatie, introductie van achterdeuren of het faciliteren van grotere cyberactiviteiten.”
