Специалисты компании SecurityScorecard выявили новую масштабную кампанию северокорейской хакерской группировки Lazarus, использующей ранее неизвестное вредоносное ПО Marstech1. Атаки, получившие название Marstech Mayhem, нацелены на разработчиков программного обеспечения и представляют серьезную угрозу для безопасности цепочек поставок.
Механизм распространения и функционал вредоносного ПО
Исследователи обнаружили следы малвари в публичном репозитории GitHub, связанном с аккаунтом SuccessFriend. Профиль, действовавший с июля 2024 года, демонстрировал интерес к веб-разработке и технологиям блокчейн, что характерно для целевой направленности группировки Lazarus. На момент обнаружения аккаунт уже заблокирован администрацией платформы.
Marstech1 обладает широким спектром вредоносных возможностей. Основной функционал включает сбор системной информации, внедрение в веб-сайты и npm-пакеты, а также манипуляции с настройками криптовалютных кошельков, включая MetaMask, Exodus и Atomic. Вредоносное ПО совместимо с операционными системами Windows, Linux и macOS.
Масштабы и география атак
С момента первого обнаружения в декабре 2024 года, Marstech1 атаковал не менее 233 целей в США, Европе и Азии. Особую опасность представляет способность малвари к загрузке дополнительных вредоносных модулей с командного сервера, что существенно расширяет потенциал для проведения сложных многоступенчатых атак.
Технические особенности и методы маскировки
Эксперты отмечают использование продвинутых техник обфускации, ранее не наблюдавшихся в арсенале Lazarus. Это позволяет вредоносному коду успешно избегать обнаружения при внедрении в программные пакеты. Анализ показал различия между версией малвари из GitHub-репозитория и образцами, загружаемыми напрямую с командного сервера, что указывает на активную разработку и совершенствование вредоносного инструмента.
Данная кампания демонстрирует растущую изощренность кибератак, нацеленных на разработчиков и инфраструктуру распространения программного обеспечения. Организациям рекомендуется усилить контроль за используемыми зависимостями, регулярно проводить аудит безопасности и внедрять многоуровневую защиту от целевых атак на цепочки поставок.
