{"id":1539707,"date":"2025-02-14T20:41:14","date_gmt":"2025-02-14T22:41:14","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-lazarus-deploie-limplant-javascript-marstech1-dans-des-attaques-de-developpeurs-ciblees\/"},"modified":"2025-02-14T20:41:19","modified_gmt":"2025-02-14T22:41:19","slug":"le-groupe-lazarus-deploie-limplant-javascript-marstech1-dans-des-attaques-de-developpeurs-ciblees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-lazarus-deploie-limplant-javascript-marstech1-dans-des-attaques-de-developpeurs-ciblees\/","title":{"rendered":"Le groupe Lazarus d\u00e9ploie l&#8217;implant Javascript Marstech1 dans des attaques de d\u00e9veloppeurs cibl\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du navigateur \/ crypto-monnaie<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Le-groupe-Lazarus-deploie-limplant-Javascript-Marstech1-dans-des-attaques.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur de menace nord-cor\u00e9en connue sous le nom de groupe Lazare a \u00e9t\u00e9 li\u00e9 \u00e0 un implant JavaScript auparavant sans papiers nomm\u00e9 Marstech1 dans le cadre d&#8217;attaques cibl\u00e9es limit\u00e9es contre les d\u00e9veloppeurs.<\/p>\n<p>L&#8217;op\u00e9ration active a \u00e9t\u00e9 surnomm\u00e9e Marstech Mayhem par SecurityScoreCard, le logiciel malveillant livr\u00e9 au moyen d&#8217;un r\u00e9f\u00e9rentiel open source h\u00e9berg\u00e9 sur GitHub associ\u00e9 \u00e0 un profil nomm\u00e9 &#8220;Successfriend&#8221;. Le profil, actif depuis juillet 2024, n&#8217;est plus accessible sur la plate-forme d&#8217;h\u00e9bergement de code.<\/p>\n<p>L&#8217;implant est con\u00e7u pour collecter les informations du syst\u00e8me et peut \u00eatre int\u00e9gr\u00e9 dans les sites Web et les packages NPM, posant un risque de cha\u00eene d&#8217;approvisionnement. Les preuves montrent que les logiciels malveillants ont \u00e9merg\u00e9 fin d\u00e9cembre 2024. L&#8217;attaque a amass\u00e9 233 victimes confirm\u00e9es aux \u00c9tats-Unis, en Europe et en Asie.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Le profil a mentionn\u00e9 la blockchain des comp\u00e9tences en ligne et d&#8217;apprentissage Web qui s&#8217;aligne sur les int\u00e9r\u00eats de Lazarus&#8221;, SecurityScorecard <a rel=\"noopener nofollow\" href=\"https:\/\/securityscorecard.com\/wp-content\/uploads\/2025\/02\/Operation-Marstech-Mayhem-Report_021025_03.pdf\" target=\"_blank\">dit<\/a>. &#8220;L&#8217;acteur de menace commetait \u00e0 la fois des charges utiles pr\u00e9-obstru\u00e9es et obscurcies vers divers r\u00e9f\u00e9rentiels GitHub.&#8221;<\/p>\n<p>Dans une tournure int\u00e9ressante, l&#8217;implant pr\u00e9sent dans le r\u00e9f\u00e9rentiel GitHub s&#8217;est r\u00e9v\u00e9l\u00e9 diff\u00e9rent de la version servie directement du serveur de commande et de contr\u00f4le (C2) \u00e0 74.119.194[.]129: 3000 \/ j \/ Marstech1, indiquant qu&#8217;il peut \u00eatre soumis \u00e0 un d\u00e9veloppement actif.<\/p>\n<p>Sa principale responsabilit\u00e9 est de rechercher dans les r\u00e9pertoires de navigateur \u00e0 base de chrome dans divers syst\u00e8mes d&#8217;exploitation et de modifier les param\u00e8tres li\u00e9s \u00e0 l&#8217;extension, en particulier ceux li\u00e9s au portefeuille de crypto-monnaie Metamask. Il est \u00e9galement capable de t\u00e9l\u00e9charger des charges utiles suppl\u00e9mentaires \u00e0 partir du m\u00eame serveur sur le port 3001.<\/p>\n<p>Certains des autres portefeuilles cibl\u00e9s par les logiciels malveillants incluent l&#8217;exode et l&#8217;atomique sur Windows, Linux et MacOS. Les donn\u00e9es captur\u00e9es sont ensuite exfiltr\u00e9es au point de terminaison C2 &#8220;74.119.194[.]129: 3000 \/ T\u00e9l\u00e9chargements. &#8220;<\/p>\n<p>&#8220;L&#8217;introduction de l&#8217;implant marstech1, avec ses techniques d&#8217;obscuscations en couches &#8211; de l&#8217;aplatissement de flux de contr\u00f4le et de renommage dynamique variable en Javascript au d\u00e9cryptage XOR en plusieurs \u00e9tapes en Python &#8211; souligne l&#8217;approche sophistiqu\u00e9e de l&#8217;acteur de menace pour \u00e9chapper \u00e0 une analyse statique et dynamique&#8221;, la soci\u00e9t\u00e9 &#8221; dit.<\/p>\n<p>La divulgation intervient alors que l&#8217;avenir enregistr\u00e9 a r\u00e9v\u00e9l\u00e9 qu&#8217;au moins trois organisations dans l&#8217;espace de crypto-monnaie plus large, une soci\u00e9t\u00e9 de march\u00e9, un casino en ligne et une soci\u00e9t\u00e9 de d\u00e9veloppement de logiciels ont \u00e9t\u00e9 cibl\u00e9es dans le cadre de la campagne d&#8217;interview contagieuse entre octobre et novembre 2024.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 suit le cluster sous le nom de Purplebravo, indiquant le <a rel=\"noopener nofollow\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/cybercrime-multifaceted-national-security-threat\" target=\"_blank\">Travailleurs informatiques nord-cor\u00e9ens<\/a> Derri\u00e8re le programme d&#8217;emploi frauduleux se trouvent \u00e0 l&#8217;origine de la menace de cyber-espionnage. Il est \u00e9galement suivi sous les noms CL-SA-0240, c\u00e9l\u00e8bre Chollima et Tenace Pungsan.<\/p>\n<p>&#8220;Les organisations qui embauchent sans le savoir les travailleurs informatiques nord-cor\u00e9ens peuvent \u00eatre en violation des sanctions internationales, s&#8217;exposant \u00e0 des r\u00e9percussions juridiques et financi\u00e8res&#8221;, la soci\u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.recordedfuture.com\/research\/inside-the-scam-north-koreas-it-worker-threat\" target=\"_blank\">dit<\/a>. &#8220;Plus de mani\u00e8re critique, ces travailleurs agissent presque certainement comme des menaces d&#8217;initi\u00e9s, le volant d&#8217;informations propri\u00e9taires, l&#8217;introduction de baignoires ou la facilitation des cyber-op\u00e9rations plus importantes.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/lazarus-group-deploys-marstech1.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 f\u00e9vrier 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 du navigateur \/ crypto-monnaie L&#8217;acteur de menace nord-cor\u00e9en connue sous le nom de groupe Lazare a \u00e9t\u00e9 li\u00e9 \u00e0 un implant JavaScript auparavant sans papiers nomm\u00e9 Marstech1 dans le cadre d&#8217;attaques cibl\u00e9es limit\u00e9es contre les d\u00e9veloppeurs. L&#8217;op\u00e9ration active a \u00e9t\u00e9 surnomm\u00e9e Marstech Mayhem par SecurityScoreCard, le logiciel malveillant livr\u00e9 au moyen [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1539708,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,8074,46619,4168,79002,274264,4161,274263,6124,429,7050,133,11530,681,7305,50570,84014,274267,280312,4160,238617,246491,4172,79016,4166,4164],"class_list":["post-1539707","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-attaques","tag-ciblees","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dans","tag-deploie","tag-des","tag-developpeurs","tag-groupe","tag-javascript","tag-lazarus","tag-limplant","tag-malware-ransomware","tag-marstech1","tag-mises-a-jour-de-la-cybersecurite","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1539707","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1539707"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1539707\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1539708"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1539707"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1539707"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1539707"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}