Aktor ancaman Korea Utara yang dikenal sebagai kelompok Lazarus telah dikaitkan dengan implan JavaScript yang sebelumnya tidak berdokumen bernama Marstech1 sebagai bagian dari serangan bertarget terbatas terhadap pengembang.
Operasi aktif telah dijuluki Marstech Mayhem oleh SecurityScorecard, dengan malware yang dikirimkan melalui repositori open-source yang di-host di GitHub yang terkait dengan profil bernama “Success Friend.” Profil, aktif sejak Juli 2024, tidak lagi dapat diakses pada platform hosting kode.
Implan ini dirancang untuk mengumpulkan informasi sistem, dan dapat disematkan di dalam situs web dan paket NPM, menimbulkan risiko rantai pasokan. Bukti menunjukkan bahwa malware pertama kali muncul pada akhir Desember 2024. Serangan itu telah mengumpulkan 233 korban yang dikonfirmasi di seluruh AS, Eropa, dan Asia.
“Profil tersebut menyebutkan keterampilan web dan blockchain pembelajaran yang selaras dengan kepentingan Lazarus,” kata SecurityScorecard. “Aktor ancaman melakukan muatan pra-terobsesi dan dikaburkan untuk berbagai repositori GitHub.”
Dalam twist yang menarik, implan yang ada di repositori GitHub telah ditemukan berbeda dari versi yang disajikan langsung dari server perintah-dan-kontrol (C2) di 74.119.194[.]129: 3000/J/Marstech1, menunjukkan bahwa itu mungkin sedang dalam pengembangan aktif.
Tanggung jawab utamanya adalah mencari di seluruh direktori browser berbasis kromium di berbagai sistem operasi dan mengubah pengaturan terkait ekstensi, terutama yang terkait dengan dompet cryptocurrency Metamask. Ini juga mampu mengunduh muatan tambahan dari server yang sama di port 3001.
Beberapa dompet lain yang ditargetkan oleh malware termasuk Keluaran dan Atom pada Windows, Linux, dan MacOS. Data yang ditangkap kemudian dieksfiltrasi ke titik akhir C2 “74.119.194[.]129: 3000/unggahan. “
“Pengenalan Implan Marstech1, dengan teknik pengayaannya yang berlapis-dari aliran pengendalian dan pengalihan variabel dinamis dalam JavaScript ke dekripsi XOR multi-tahap dalam python-menggarisbawahi pendekatan canggih aktor ancaman untuk menghindari analisis statis dan dinamis,” The Company, aktor ancaman untuk menghindari baik analisis statis dan dinamis, “The Company. dikatakan.
Pengungkapan itu datang karena rekaman Future mengungkapkan bahwa setidaknya tiga organisasi di ruang cryptocurrency yang lebih luas, perusahaan pembuat pasar, kasino online, dan perusahaan pengembangan perangkat lunak, ditargetkan sebagai bagian dari kampanye wawancara menular antara Oktober dan November 2024.
Perusahaan cybersecurity melacak cluster dengan nama Purplebravo, yang menyatakan pekerja TI Korea Utara di balik skema ketenagakerjaan penipuan berada di belakang ancaman spionase cyber. Ini juga dilacak dengan nama CL-STA-0240, Chollima yang terkenal, dan Pungsan yang ulet.
“Organisasi yang secara tidak sadar mempekerjakan pekerja TI Korea Utara mungkin melanggar sanksi internasional, memaparkan diri mereka pada dampak hukum dan keuangan,” kata perusahaan itu. “Lebih kritis, para pekerja ini hampir pasti bertindak sebagai ancaman orang dalam, mencuri informasi hak milik, memperkenalkan pintu belakang, atau memfasilitasi operasi cyber yang lebih besar.”
