Исследователи из компании SecurityScorecard обнаружили, что северокорейская хак-группа Lazarus использует ранее неизвестную JavaScript-малварь Marstech1 в целевых атаках на разработчиков.
Эта вредоносная кампания получила название Marstech Mayhem. Исследователи рассказывают, что малварь удалось отследить до публичного репозитория на GitHub, связанного с профилем SuccessFriend. Этот аккаунт был активен с июля 2024 года, но в настоящее время уже заблокирован.
Новая малварь предназначается для сбора системной информации и может встраиваться в сайты или пакеты npm, что создает риски атак на цепочки поставок. Ее основная задача — поиск по каталогам Chromium-браузеров и изменение настроек расширений, в частности, связанных с криптовалютными кошельками MetaMask, Exodus и Atomic под Windows, Linux и macOS. Также вредонос способен загружать дополнительные полезные нагрузки со своего управляющего сервера.
По данным специалистов, впервые активность Marstech1 была замечена в конце декабря 2024 года, и ее жертвами стали не менее 233 человек из США, стран Европы и Азии.
«В профиле SuccessFriend упоминались навыки веб-разработки и изучения блокчейна, что вполне соответствует интересам Lazarus. Злоумышленник коммитил обфусцированные и предварительно обфусцированные полезные нагрузки в различные GitHub-репозитории», — пишут эксперты SecurityScorecard.
Кроме того, вредоносный JavaScript внедрялся в пакеты npm, которые были связаны с различными криптовалютными проектами. К сожалению, не сообщается, что это были за пакеты, насколько они популярны и легко ли их найти.
Исследователи отмечают, что малварь использует несколько уровней обфускации, которые ранее не встречались у Lazarus. Это позволяет Marstech1 оставаться незамеченной при встраивании в программные пакеты. Так, в ходе анализа были выявлены следующие техники:
- изменение потока управления и самовызов функций;
- случайные имена переменных и функций;
- кодирование строк Base64;
- антиотладка (защита от вмешательства);
- разделение и последующая сборка строк.
При этом версия малвари, доступная в репозитории на GitHub, отличалась от версии, которая загружалась непосредственно с управляющего сервера по адресу 74.119.194[.]129:3000/j/marstech1. То есть, вероятно, что вредонос еще находится в стадии разработки.
