Lazarus Grubu olarak bilinen Kuzey Kore tehdit oyuncusu, daha önce belgelenmemiş bir JavaScript implantıyla, geliştiricilere yönelik sınırlı hedefli saldırıların bir parçası olarak MARSTECH1 adlı bir JavaScript implantı ile bağlantılıdır.
Aktif işlem, GitHub’da barındırılan ve “Başarı Arkadaşı” adlı bir profille ilişkili açık kaynaklı bir depo aracılığıyla teslim edilen kötü amaçlı yazılım ile Marstech Mayhem olarak adlandırıldı. Temmuz 2024’ten beri etkin olan profil artık kod barındırma platformunda erişilemiyor.
İmplant, sistem bilgilerini toplamak için tasarlanmıştır ve bir tedarik zinciri riski oluşturarak web sitelerine ve NPM paketlerine gömülebilir. Kanıtlar, kötü amaçlı yazılımın ilk olarak Aralık 2024’ün sonlarında ortaya çıktığını gösteriyor. Saldırı, ABD, Avrupa ve Asya’da 233 onaylanmış kurban topladı.
SecurityScorecard, “Profil, Lazarus’un çıkarlarına uygun olan web geliştiricileri ve öğrenme blockchain’den bahsetti.” Dedi. Diyerek şöyle devam etti: “Tehdit oyuncusu çeşitli GitHub depolarına hem önceden takas hem de gizlenmiş yükleri taahhüt ediyordu.”
İlginç bir bükülmede, GitHub deposunda bulunan implantın, doğrudan 74.119.194 numaralı telefondan komut ve kontrol (C2) sunucusundan sunulan sürümden farklı olduğu bulunmuştur.[.]129: 3000/j/marstech1, aktif gelişme altında olabileceğini gösterir.
Başlıca sorumluluğu, çeşitli işletim sistemlerindeki krom tabanlı tarayıcı dizinleri arasında arama yapmak ve özellikle Metamask kripto para cüzdanı ile ilgili olanları, genişletme ile ilgili ayarları değiştirmektir. Ayrıca 3001 bağlantı noktasında aynı sunucudan ek yükler indirebilir.
Kötü amaçlı yazılım tarafından hedeflenen diğer cüzdanlardan bazıları Windows, Linux ve macOS’ta Çıkış ve Atomik’dir. Yakalanan veriler daha sonra C2 uç noktasına “74.119.194[.]129: 3000/yükleme. “
“Marstech1 implantının katmanlı gizleme teknikleriyle-kontrol akışı düzleşmesi ve javascript’te yeniden adlandırılan dinamik değişkenten Python’da çok aşamalı xor şifrelemesine kadar-tehdit aktörünün hem statik hem de dinamik analizden kaçınmaya yönelik sofistike yaklaşımını vurgulamaktadır.” söz konusu.
Açıklama, kaydedilen geleceğin, daha geniş kripto para birimi alanındaki en az üç kuruluşun, bir pazar yapan şirket, bir çevrimiçi kumarhane ve bir yazılım geliştirme şirketi, Ekim ve Kasım 2024 yılları arasında bulaşıcı görüşme kampanyasının bir parçası olarak hedeflendiğini ortaya koydu.
Siber güvenlik firması, Purplebravo adı altında kümeyi izliyor ve hileli istihdam planının arkasındaki Kuzey Koreli BT işçilerinin siber casusluk tehdidinin arkasında olduğunu belirtiyor. Ayrıca CL-Sta-0240, ünlü Chollima ve Tenefious Pungsan isimleri altında izlenir.
Şirket, “Bilinmeden Kuzey Koreli BT işçilerini işe alan kuruluşlar, uluslararası yaptırımları ihlal ederek kendilerini yasal ve finansal yankılara maruz bırakabilir.” Dedi. Diyerek şöyle devam etti: “Daha eleştirel olarak, bu işçiler neredeyse kesinlikle içeriden tehditler, özel bilgileri çalmak, arka kapıları tanıtmak veya daha büyük siber operasyonları kolaylaştırmak olarak hareket ediyorlar.”