SecurityScorecard-Forscher haben eine neue, hochentwickelte Malware-Kampagne der berüchtigten nordkoreanischen Hackergruppe Lazarus aufgedeckt. Die als „Marstech Mayhem“ bezeichnete Operation nutzt die bisher unbekannte Marstech1-Malware, die gezielt auf Software-Entwickler abzielt und eine ernsthafte Bedrohung für globale Software-Lieferketten darstellt.
Entdeckung und Verbreitungsmethoden der Marstech1-Malware
Die Malware wurde erstmals in einem öffentlichen GitHub-Repository identifiziert, das mit dem Benutzerkonto „SuccessFriend“ in Verbindung steht. Das seit Juli 2024 aktive Profil zeigte charakteristische Merkmale der Lazarus-Gruppe, insbesondere ein vorgetäuschtes Interesse an Webentwicklung und Blockchain-Technologien. GitHub hat das verdächtige Konto inzwischen gesperrt, um weitere Verbreitungen zu unterbinden.
Technische Fähigkeiten und Schadenspotenzial
Marstech1 zeichnet sich durch ein beeindruckendes Arsenal an Angriffsfunktionen aus. Die Malware kann systematisch Systeminformationen sammeln, sich in Websites und npm-Pakete einschleusen sowie Kryptowährungswallet-Konfigurationen manipulieren. Betroffen sind populäre Wallets wie MetaMask, Exodus und Atomic. Die plattformübergreifende Kompatibilität mit Windows, Linux und macOS erweitert den potenziellen Angriffsradius erheblich.
Geografische Ausbreitung und Bedrohungsanalyse
Seit der Erstentdeckung im Dezember 2024 wurden mindestens 233 Angriffsziele in den USA, Europa und Asien identifiziert. Besonders besorgniserregend ist die Fähigkeit der Malware, zusätzliche Schadmodule von Command-and-Control-Servern nachzuladen, was komplexe, mehrstufige Angriffskampagnen ermöglicht.
Fortgeschrittene Tarnungstechniken
Die Analyse offenbart neuartige Verschleierungstechniken, die bisher nicht im Repertoire der Lazarus-Gruppe beobachtet wurden. Diese ermöglichen es der Malware, Erkennungssysteme bei der Integration in Software-Pakete zu umgehen. Unterschiede zwischen GitHub-Repository-Versionen und direkt von Command-Servern geladenen Varianten deuten auf eine aktive Weiterentwicklung der Malware hin.
Angesichts der zunehmenden Sophistikation von Supply-Chain-Angriffen wird Unternehmen dringend empfohlen, ihre Sicherheitsmaßnahmen zu verstärken. Dies umfasst die regelmäßige Überprüfung von Softwareabhängigkeiten, die Implementierung mehrschichtiger Sicherheitskontrollen und die Durchführung gründlicher Sicherheitsaudits. Nur durch proaktive Verteidigungsstrategien können Organisationen ihre Software-Lieferketten effektiv vor derartigen gezielten Angriffen schützen.
