El actor de amenaza de Corea del Boreal conocido como el Camarilla Lazarus se ha relacionado con un implante JavaScript previamente indocumentado llamado Marstech1 como parte de ataques limitados dirigidos contra los desarrolladores.
La operación activa ha sido denominada Marstech Mayhem por SecurityScorecard, con el malware entregado por medio de un repositorio de código rajado alojado en GitHub asociado con un perfil llamado “Sucesivefriend”. El perfil, activo desde julio de 2024, ya no es accesible en la plataforma de alojamiento de código.
El implante está diseñado para compendiar información del sistema y se puede integrar en sitios web y paquetes de NPM, lo que plantea un peligro de condena de suministro. La evidencia muestra que el malware surgió por primera vez a fines de diciembre de 2024. El ataque ha acumulado 233 víctimas confirmadas en los Estados Unidos, Europa y Asia.
“El perfil mencionó las habilidades de crecimiento web y la condena de bloques de educación que está alineada con los intereses de Lázaro”, dijo SecurityScorecard. “El actor de amenaza estaba cometiendo cargas bártulos pre-obfuscadas y ofuscadas a varios repositorios de Github”.
En un locución interesante, se ha contrario que el implante presente en el repositorio de GitHub es diferente de la traducción que se sirve directamente desde el servidor de comando y control (C2) al 74.119.194 (.) 129: 3000/j/marstech1, indicando que puede estar bajo crecimiento activo.
Su principal responsabilidad es apañarse en los directorios de navegador basados en el cromo en diversos sistemas operativos y alterar configuraciones relacionadas con la extensión, particularmente aquellas relacionadas con la billetera de criptomonedas de metamask. Todavía es capaz de descargar cargas bártulos adicionales del mismo servidor en el puerto 3001.
Algunas de las otras billeteras dirigidas por el malware incluyen Exodus y Atomic en Windows, Linux y MacOS. Los datos capturados se exfiltran al punto final C2 “74.119.194 (.) 129: 3000/cargas”.
“La inmersión del implante Marstech1, con sus técnicas de ofuscación en capas, desde el aplanamiento del flujo de control y el cambio de nombre de la variable dinámica en JavaScript hasta el descifrado de XOR en múltiples etapas en Python, subraya el enfoque sofisticado del actor del actor para sortear el descomposición inmutable y dinámico”, la compañía “, la compañía”, la compañía “, la compañía”, la compañía “, la compañía”, la compañía “, la compañía” dicho.
La divulgación se produce cuando el futuro registrado reveló que al menos tres organizaciones en el espacio más amplio de criptomonedas, una compañía de fabricación de mercado, un casino en rasgo y una compañía de crecimiento de software, fueron dirigidas como parte de la campaña de entrevistas contagiosa entre octubre y noviembre de 2024.
La firma de ciberseguridad está rastreando el clúster bajo el nombre de PurpleBravo, indicando que los trabajadores de TI de Corea del Boreal detrás del esquema de empleo fraudulento están detrás de la amenaza de ciber espionaje. Todavía se rastrea bajo los nombres CL-STA-0240, Famosa Chollima y Tenacious Pungsan.
“Las organizaciones que sin saberlo contratan trabajadores de TI de Corea del Boreal pueden violar las sanciones internacionales, exponiéndose a repercusiones legales y financieras”, dijo la compañía. “Más críticamente, estos trabajadores casi seguramente actúan como amenazas internas, robando información patentada, introduciendo traseros o facilitando operaciones cibernéticas más grandes”.
