安全研究人员发现朝鲜黑客组织Lazarus Group部署了一种名为Marstech1的JavaScript植入物,针对开发者发起有限的针对性攻击。此次行动被命名为Marstech Mayhem,攻击者通过GitHub上的一个名为“SuccessFriend”的开源仓库传播恶意软件,该仓库自2024年7月活跃,目前已无法访问。Marstech1植入物能够收集系统信息,并可嵌入网站和NPM软件包中,构成供应链风险。证据显示该恶意软件最早于2024年12月底出现,攻击已在美国、欧洲和亚洲确认了233名受害者。该植入物的主要任务是在不同操作系统中的基于Chromium的浏览器目录中搜索并修改与MetaMask加密货币钱包相关的扩展设置,还能从同一服务器的3001端口下载额外的有效载荷。被捕获的数据被传输到C2端点“74.119.194[.]129:3000/uploads”。恶意JavaScript文件还被植入到参与加密货币项目的部分NPM软件包中。Marstech1植入物采用多层混淆技术,包括JavaScript中的控制流扁平化和动态变量重命名,以及Python中的多阶段XOR解密,以逃避静态和动态分析。与此同时,Recorded Future披露,至少有三家长于2024年10月至11月期间被名为Contagious Interview的行动针对,包括一家市场制造公司、一家在线赌场和一家软件开发公司。这些行动背后的朝鲜IT工作者还被追踪为PurpleBravo,也被称为CL-STA-0240、Famous Chollima和Tenacious Pungsan。
原文链接:
https://thehackernews.com/2025/02/lazarus-group-deploys-marstech1.html
原文始发于微信公众号(狼蛛安全实验室):疑似朝鲜Lazarus组织利用Marstech1攻击开发者
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论