Il gruppo di cybercriminali noto come Lazarus Group, originario della Corea del Nord, è stato recentemente legato a un nuovo impianto JavaScript chiamato Marstech1. Questo malware è stato utilizzato in attacchi mirati contro sviluppatori, con l'operazione attiva denominata Marstech Mayhem, secondo SecurityScorecard. Il malware viene distribuito attraverso un repository open-source ospitato su GitHub, associato a un profilo chiamato "SuccessFriend", attivo da luglio 2024 ma ora non più accessibile. Marstech1 è progettato per raccogliere informazioni di sistema ed è in grado di essere integrato in siti web e pacchetti NPM, rappresentando un rischio per la catena di fornitura. Le prove suggeriscono che il malware è emerso per la prima volta a dicembre 2024 e ha già colpito 233 vittime confermate negli Stati Uniti, in Europa e in Asia.

Profilo GitHub e dettagli tecnici

Il profilo GitHub in questione menzionava competenze nello sviluppo web e l'apprendimento della blockchain, in linea con gli interessi del gruppo Lazarus. Il codice malevolo veniva caricato sia in forma offuscata che non su vari repository GitHub. Un aspetto interessante è che la versione del malware presente nel repository GitHub differisce da quella servita direttamente dal server command-and-control (C2), il che potrebbe indicare che sia ancora in fase di sviluppo attivo. Marstech1 ha come obiettivo principale la ricerca nelle directory dei browser basati su Chromium per modificare le impostazioni relative alle estensioni, in particolare quelle legate al portafoglio di criptovalute MetaMask. È anche in grado di scaricare ulteriori payload dallo stesso server.

Obiettivi del malware

Il malware prende di mira diversi portafogli di criptovalute, tra cui Exodus e Atomic, su sistemi Windows, Linux e macOS. I dati catturati vengono poi esfiltrati al server C2. Le tecniche di offuscamento a strati del malware, che vanno dall'appiattimento del flusso di controllo e rinomina dinamica delle variabili in JavaScript alla decrittazione XOR a più stadi in Python, dimostrano un approccio sofisticato per evitare l'analisi sia statica che dinamica. La rivelazione di questo malware avviene mentre Recorded Future ha rivelato che almeno tre organizzazioni nel settore delle criptovalute sono state prese di mira come parte della campagna Contagious Interview tra ottobre e novembre 2024.

Monitoraggio e rischi legali

SecurityScorecard sta monitorando il cluster sotto il nome di PurpleBravo, dichiarando che i lavoratori IT nordcoreani dietro lo schema di impiego fraudolento sono la minaccia di spionaggio informatico. È anche seguito sotto i nomi CL-STA-0240, Famous Chollima e Tenacious Pungsan. Le organizzazioni che assumono inconsapevolmente lavoratori IT nordcoreani potrebbero violare le sanzioni internazionali, esponendosi a conseguenze legali e finanziarie. Più criticamente, questi lavoratori agiscono quasi certamente come minacce interne, rubando informazioni proprietarie, introducendo backdoor o facilitando operazioni informatiche più ampie.