{"id":1580474,"date":"2025-02-14T18:51:58","date_gmt":"2025-02-14T18:51:58","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-lazarus-despliega-el-implante-javascript-marstech1-en-ataques-de-desarrolladores-especificos\/"},"modified":"2025-02-14T18:52:03","modified_gmt":"2025-02-14T18:52:03","slug":"el-grupo-lazarus-despliega-el-implante-javascript-marstech1-en-ataques-de-desarrolladores-especificos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-lazarus-despliega-el-implante-javascript-marstech1-en-ataques-de-desarrolladores-especificos\/","title":{"rendered":"El Grupo Lazarus despliega el implante JavaScript Marstech1 en ataques de desarrolladores espec\u00edficos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>14 de febrero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad del navegador \/ criptomoneda<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El actor de amenaza de Corea del Norte conocido como el Grupo Lazarus se ha relacionado con un implante JavaScript previamente indocumentado llamado Marstech1 como parte de ataques limitados dirigidos contra los desarrolladores.<\/p>\n

La operaci\u00f3n activa ha sido denominada Marstech Mayhem por SecurityScorecard, con el malware entregado por medio de un repositorio de c\u00f3digo abierto alojado en GitHub asociado con un perfil llamado “Sucesivefriend”. El perfil, activo desde julio de 2024, ya no es accesible en la plataforma de alojamiento de c\u00f3digo.<\/p>\n

El implante est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n del sistema y se puede integrar en sitios web y paquetes de NPM, lo que plantea un riesgo de cadena de suministro. La evidencia muestra que el malware surgi\u00f3 por primera vez a fines de diciembre de 2024. El ataque ha acumulado 233 v\u00edctimas confirmadas en los Estados Unidos, Europa y Asia.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“El perfil mencion\u00f3 las habilidades de desarrollo web y la cadena de bloques de aprendizaje que est\u00e1 alineado con los intereses de L\u00e1zaro”, SecurityScorecard dicho<\/a>. “El actor de amenaza estaba cometiendo cargas \u00fatiles pre-obfuscadas y ofuscadas a varios repositorios de Github”.<\/p>\n

En un giro interesante, se ha encontrado que el implante presente en el repositorio de GitHub es diferente de la versi\u00f3n que se sirve directamente desde el servidor de comando y control (C2) al 74.119.194[.]129: 3000\/j\/marstech1, lo que indica que puede estar bajo desarrollo activo.<\/p>\n

Su principal responsabilidad es buscar en los directorios de navegador basados \u200b\u200ben el cromo en diversos sistemas operativos y alterar configuraciones relacionadas con la extensi\u00f3n, particularmente aquellas relacionadas con la billetera de criptomonedas de metamask. Tambi\u00e9n es capaz de descargar cargas \u00fatiles adicionales del mismo servidor en el puerto 3001.<\/p>\n

Algunas de las otras billeteras dirigidas por el malware incluyen Exodus y Atomic en Windows, Linux y MacOS. Los datos capturados se exfiltran al punto final C2 “74.119.194[.]129: 3000\/cargas “.<\/p>\n

“La introducci\u00f3n del implante Marstech1, con sus t\u00e9cnicas de ofuscaci\u00f3n en capas, desde el aplanamiento del flujo de control y el cambio de nombre de la variable din\u00e1mica en JavaScript hasta el descifrado de XOR en m\u00faltiples etapas en Python, subraya el enfoque sofisticado del actor del actor para evadir el an\u00e1lisis est\u00e1tico y din\u00e1mico”, la compa\u00f1\u00eda “, la compa\u00f1\u00eda”, la compa\u00f1\u00eda “, la compa\u00f1\u00eda”, la compa\u00f1\u00eda “, la compa\u00f1\u00eda”, la compa\u00f1\u00eda “, la compa\u00f1\u00eda” dicho.<\/p>\n

La divulgaci\u00f3n se produce cuando el futuro registrado revel\u00f3 que al menos tres organizaciones en el espacio m\u00e1s amplio de criptomonedas, una compa\u00f1\u00eda de fabricaci\u00f3n de mercado, un casino en l\u00ednea y una compa\u00f1\u00eda de desarrollo de software, fueron dirigidas como parte de la campa\u00f1a de entrevistas contagiosa entre octubre y noviembre de 2024.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La firma de ciberseguridad est\u00e1 rastreando el cl\u00faster bajo el nombre de PurpleBravo, indicando el Trabajadores de TI de Corea del Norte<\/a> Detr\u00e1s del esquema de empleo fraudulento est\u00e1n detr\u00e1s de la amenaza cibern\u00e9tica. Tambi\u00e9n se rastrea bajo los nombres CL-STA-0240, Famosa Chollima y Tenacious Pungsan.<\/p>\n

“Las organizaciones que sin saberlo contratan trabajadores de TI de Corea del Norte pueden violar las sanciones internacionales, exponi\u00e9ndose a repercusiones legales y financieras”, la compa\u00f1\u00eda dicho<\/a>. “M\u00e1s cr\u00edticamente, estos trabajadores casi seguramente act\u00faan como amenazas internas, robando informaci\u00f3n patentada, introduciendo traseros o facilitando operaciones cibern\u00e9ticas m\u00e1s grandes”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n