Blockchain ve kripto para birimi, kripto para birimi sahtekarlığı, sahtekarlık yönetimi ve siber suç
‘Marstech1’ kötü amaçlı yazılım geliştiricileri GitHub Respository aracılığıyla hedefler
Prajeet Nair (@prajeaetspeaks) •
18 Şubat 2025
Yeni Kuzey Kore kötü amaçlı yazılım, alışılmadık bir komut ve kontrol altyapısı ile ve görünüşe göre bir Pyongyang hackerının hesabı olan bir gitithub deposuna gömülü kötü amaçlı yazılımlarla Cryptowalletleri hedefliyor.
Ayrıca bakınız: Ondemand | NSM-8 Son Tarih Temmuz 2022: Kuantum-Dayanıklı Algoritmalar Uygulaması için Anahtarlar
Totaliter Kuzey Kore rejimi, kripto para hırsızlığını uzun zamandır ekonomik olarak bloke edilmiş ülkesini sert para birimi ile aşılama ve kitle imha silahlarının geliştirilmesini finanse etmenin bir aracı olarak kullanmıştır. Amerika Birleşik Devletleri ve Ocak ayında Güney Kore, Pyongyang bilgisayar korsanlarına yaklaşık 660 milyon dolarlık kripto para hırsızlığını bağladı.
Güvenlik Scorecard’daki güvenlik araştırmacıları Perşembe günü ortaya çıkardı. MARSTECH1, Linux, macOS ve Windows’ta Çıkış ve Atomik Kripto Para Birimi Cüzdanlarını hedefler.
İmplant geçen Aralık ayının sonlarında ortaya çıkmış gibi görünüyor. Güvenlik puan kartı araştırmacıları, şirketin “Lazarus Tehdit Oyuncusu’nun github profili olduğundan şüphelenen” Başarı Arkadaşı “na ait bir GitHub hesabına kadar takip etti. ABD hükümeti, Kuzey Kore hackleme birimi Lazarus Group’un Keşif Genel Bürosu’nun bir parçası olduğunu söyledi – ancak bazı bağlamlardaki isim Kuzey Kore hackleme faaliyeti için bir tutar haline geldi.
Başarı Friend, Temmuz 2024’ten beri aktiftir ve bir dizi projeye meşru kod katkıda bulunmuştur. Klon ve Başarı Friend Deposu’nu çalıştıran herhangi bir geliştirici, onunla birlikte kötü amaçlı yazılım alacaktır – muhtemelen Marstech1 veya muhtemelen başka bir implant mc_cur.pyMetamask kripto para birimi tarayıcı uzantısını hedefleyen.
Araştırmacılar ayrıca, Şubat 2022 Rusya’nın Ukrayna istilasından hemen önce ortaya çıkan bir internet barındırma firması olan “Stark Industries Solutions” tarafından kontrol edilen altyapı üzerinde çalışan bir komut ve kontrol sunucusu tarafından dağıtılan Marstech1’i buldular. Bağımsız muhabir Brian Krebs, Mayıs 2024’te bildirdi.
Sunucu kurulumu, güvenlik puan kartı tarafından gözlemlenen diğer Kuzey Kore komutu ve kontrol kurulumlarından belirgin şekilde farklıdır. Yeni öğeler arasında: MARSTECH1 sunucusu, 1224 ve 1245 bağlantı noktalarında çalışan diğer Pyongyang sunucularının aksine, 3000 bağlantı noktasında çalışır. Diğer Kuzey Kore altyapısı React Web Yönetici panelini kullanırken, Marstech1 sunucusu değil – ” arka uçta node.js express çalıştırır. “
MARSTECH1’in arkasındaki kodlayıcı, güvenlik araştırmacılarının onu bulacağının farkındaydı ve birkaç gizleme tekniği sunuyordu. Bunlar arasında, kritik fonksiyonların yalnızca bir kez çalışmasına izin veren bir kerelik sarmalayıcıları, analistlerin otomatik analiz için bu işlevleri tekrar tekrar çağırmasını önleyerek. Kod ayrıca hata ayıklama çıkışını ve tomrukçuluklarla inteberleri de gizledi. Güvenlik Puanları, “Gelişmiş anti-kötü niyetli önlemlerin ve kendini değiştiren kodun kullanımı, tedarik zinciri yönetiminde artan uyanıklık ve sağlam güvenlik çerçevesi ihtiyacını vurgulayarak gerçek zamanlı tehdit analizinin zorluğunu daha da kötüleştiriyor.” Dedi.