HackerNews 编译,转载请注明出处:
据 SecurityScorecard 报道,朝鲜威胁组织 Lazarus Group 被发现与一种此前未被记录的 JavaScript 植入程序 Marstech1 有关,该程序被用于针对开发者的有限定向攻击。
SecurityScorecard 将此活跃行动称为 “Marstech Mayhem”,恶意软件通过 GitHub 上一个名为 “SuccessFriend” 的开源仓库传播。该账户自2024年7月起活跃,目前已无法在代码托管平台上访问。
该植入程序旨在收集系统信息,可嵌入网站和 NPM 包中,带来供应链风险。证据显示,该恶意软件最早于2024年12月底出现。此次攻击已在美国、欧洲和亚洲确认有233名受害者。
“该账户提到了网络开发技能和学习区块链,这与 Lazarus 的兴趣一致,”SecurityScorecard 表示。“威胁行为者将预混淆和混淆后的有效载荷提交到多个 GitHub 仓库。”
有趣的是,GitHub 仓库中的植入程序与直接从命令与控制(C2)服务器 74.119.194[.]129:3000/j/marstech1 提供的版本不同,表明其可能正处于积极开发中。
其主要任务是在各种操作系统中搜索基于 Chromium 的浏览器目录,并更改与扩展相关的设置,特别是与 MetaMask 加密货币钱包相关的设置。它还能够从同一服务器的 3001 端口下载额外的有效载荷。
该恶意软件还针对 Windows、Linux 和 macOS 上的 Exodus 和 Atomic 钱包。捕获的数据随后被窃取到 C2 端点 “74.119.194[.]129:3000/uploads”。
SecurityScorecard 威胁研究与情报高级副总裁 Ryan Sherstobitoff 告诉《黑客新闻》,恶意 JavaScript 文件还被植入到某些属于加密货币项目的 NPM 包中。
“Marstech1 植入程序的引入,其分层混淆技术——从 JavaScript 中的控制流扁平化和动态变量重命名到 Python 中的多阶段异或解密——突显了威胁行为者在逃避静态和动态分析方面的复杂方法,”该公司表示。
与此同时,Recorded Future 披露,在2024年10月至11月期间,至少有三家与加密货币领域相关的公司——一家做市公司、一家在线赌场和一家软件开发公司——成为 “Contagious Interview” 活动的目标。
这家网络安全公司正在跟踪名为 PurpleBravo 的集群,称其背后的朝鲜 IT 工作者是网络间谍活动的幕后黑手。该活动还被追踪为 CL-STA-0240、Famous Chollima 和 Tenacious Pungsan。
“无意中雇佣朝鲜 IT 工作者的组织可能违反了国际制裁,使自己面临法律和财务后果,”该公司表示。“更严重的是,这些工人几乎肯定会作为内部威胁,窃取专有信息、引入后门或协助更大的网络行动。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
