14 février 2025Ravie LakshmananSécurité du navigateur / crypto-monnaie

L’acteur de menace nord-coréen connue sous le nom de groupe Lazare a été lié à un implant JavaScript auparavant sans papiers nommé Marstech1 dans le cadre d’attaques ciblées limitées contre les développeurs.

L’opération active a été surnommée Marstech Mayhem par SecurityScoreCard, le logiciel malveillant livré au moyen d’un référentiel open source hébergé sur GitHub associé à un profil nommé “Successfriend”. Le profil, actif depuis juillet 2024, n’est plus accessible sur la plate-forme d’hébergement de code.

L’implant est conçu pour collecter les informations du système et peut être intégré dans les sites Web et les packages NPM, posant un risque de chaîne d’approvisionnement. Les preuves montrent que les logiciels malveillants ont émergé fin décembre 2024. L’attaque a amassé 233 victimes confirmées aux États-Unis, en Europe et en Asie.

Cybersécurité

“Le profil a mentionné la blockchain des compétences en ligne et d’apprentissage Web qui s’aligne sur les intérêts de Lazarus”, SecurityScorecard dit. “L’acteur de menace commetait à la fois des charges utiles pré-obstruées et obscurcies vers divers référentiels GitHub.”

Dans une tournure intéressante, l’implant présent dans le référentiel GitHub s’est révélé différent de la version servie directement du serveur de commande et de contrôle (C2) à 74.119.194[.]129: 3000 / j / Marstech1, indiquant qu’il peut être soumis à un développement actif.

Sa principale responsabilité est de rechercher dans les répertoires de navigateur à base de chrome dans divers systèmes d’exploitation et de modifier les paramètres liés à l’extension, en particulier ceux liés au portefeuille de crypto-monnaie Metamask. Il est également capable de télécharger des charges utiles supplémentaires à partir du même serveur sur le port 3001.

Certains des autres portefeuilles ciblés par les logiciels malveillants incluent l’exode et l’atomique sur Windows, Linux et MacOS. Les données capturées sont ensuite exfiltrées au point de terminaison C2 “74.119.194[.]129: 3000 / Téléchargements. “

“L’introduction de l’implant marstech1, avec ses techniques d’obscuscations en couches – de l’aplatissement de flux de contrôle et de renommage dynamique variable en Javascript au décryptage XOR en plusieurs étapes en Python – souligne l’approche sophistiquée de l’acteur de menace pour échapper à une analyse statique et dynamique”, la société ” dit.

La divulgation intervient alors que l’avenir enregistré a révélé qu’au moins trois organisations dans l’espace de crypto-monnaie plus large, une société de marché, un casino en ligne et une société de développement de logiciels ont été ciblées dans le cadre de la campagne d’interview contagieuse entre octobre et novembre 2024.

Cybersécurité

La société de cybersécurité suit le cluster sous le nom de Purplebravo, indiquant le Travailleurs informatiques nord-coréens Derrière le programme d’emploi frauduleux se trouvent à l’origine de la menace de cyber-espionnage. Il est également suivi sous les noms CL-SA-0240, célèbre Chollima et Tenace Pungsan.

“Les organisations qui embauchent sans le savoir les travailleurs informatiques nord-coréens peuvent être en violation des sanctions internationales, s’exposant à des répercussions juridiques et financières”, la société dit. “Plus de manière critique, ces travailleurs agissent presque certainement comme des menaces d’initiés, le volant d’informations propriétaires, l’introduction de baignoires ou la facilitation des cyber-opérations plus importantes.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57