朝鲜黑客在GitHub开源库植入恶意程序，窃取加密钱包数据

朝鲜威胁组织 Lazarus Group 与一种名为 Marstech1 的新型 JavaScript 植入程序有关，该程序通过 GitHub 上的开源仓库传播，主要针对开发者并窃取与加密货币钱包相关的数据。

据SecurityScorecard披露，朝鲜黑客组织Lazarus Group被发现与一种新型、此前未被记录的JavaScript植入程序Marstech1有关联。该程序被专门用于针对开发者实施有限定向攻击。

SecurityScorecard将此次活跃行动命名为“Marstech Mayhem”，指出恶意软件通过一个名为“SuccessFriend”的GitHub开源仓库进行传播。该账户自2024年7月起开始活跃，但目前已无法在代码托管平台上访问。

Marstech1植入程序旨在收集系统信息，并能嵌入到网站和NPM包中，从而给供应链带来风险。证据表明，该恶意软件最早于2024年12月底出现，且已在美国、欧洲和亚洲确认了233名受害者。

SecurityScorecard指出：“该账户提到了网络开发技能和学习区块链，这与Lazarus的兴趣一致。威胁行为者将预混淆和混淆后的有效载荷提交到了多个GitHub仓库。”

值得注意的是，GitHub仓库中的植入程序与直接从命令与控制（C2）服务器74.119.194[.]129:3000/j/marstech1提供的版本存在差异，这表明它可能正处于积极开发阶段。

该恶意软件的主要任务是在各种操作系统中搜索基于Chromium的浏览器目录，并更改与扩展相关的设置，特别是与MetaMask加密货币钱包相关的设置。此外，它还能从同一服务器的3001端口下载额外的有效载荷。

除了上述功能外，该恶意软件还针对Windows、Linux和macOS上的Exodus和Atomic钱包。捕获的数据随后会被窃取到C2端点“74.119.194[.]129:3000/uploads”。

SecurityScorecard威胁研究与情报高级副总裁Ryan Sherstobitoff透露，恶意JavaScript文件还被植入到某些属于加密货币项目的NPM包中。

该公司表示：“Marstech1植入程序的引入，以及其采用的分层混淆技术——从JavaScript中的控制流扁平化和动态变量重命名到Python中的多阶段异或解密——突显了威胁行为者在逃避静态和动态分析方面所使用的复杂手段。”

与此同时，Recorded Future披露称，在2024年10月至11月期间，至少有三家与加密货币领域相关的公司成为了“Contagious Interview”活动的目标。这些公司包括一家做市公司、一家在线赌场和一家软件开发公司。

这家网络安全公司正在跟踪名为PurpleBravo的集群，并指出其背后的朝鲜IT工作者是网络间谍活动的幕后黑手。该活动还被追踪为CL-STA-0240、Famous Chollima和Tenacious Pungsan。

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

本文来源：https://thehackernews.com/2025/02/lazarus-group-deploys-marstech1.html

    更多网络安全视频，请关注视频号“知道创宇404实验室”

原文始发于微信公众号（安全威胁纵横）：朝鲜黑客在GitHub开源库植入恶意程序，窃取加密钱包数据