Компанія SecurityScorecard виявила нову масштабну кіберзагрозу – шкідливе програмне забезпечення Marstech1, що використовується північнокорейським хакерським угрупованням Lazarus. Кампанія, названа Marstech Mayhem, становить серйозну небезпеку для розробників програмного забезпечення та безпеки ланцюгів постачання в глобальному масштабі.
Виявлення та поширення шкідливого ПЗ
Дослідники безпеки знайшли сліди шкідливої активності в публічному репозиторії GitHub, пов’язаному з обліковим записом SuccessFriend. Профіль, що функціонував з липня 2024 року, демонстрував професійний інтерес до веб-розробки та блокчейн-технологій – типова тактика маскування групи Lazarus. На момент виявлення загрози адміністрація GitHub вже заблокувала підозрілий акаунт.
Технічні можливості Marstech1
Marstech1 демонструє безпрецедентний рівень складності та багатофункціональності. Основні можливості шкідливого ПЗ включають:
– Збір системної інформації з інфікованих пристроїв
– Впровадження шкідливого коду у веб-сайти та npm-пакети
– Несанкціоновані маніпуляції з криптовалютними гаманцями (MetaMask, Exodus, Atomic)
– Крос-платформна сумісність (Windows, Linux, macOS)
Географія та масштаби атак
З грудня 2024 року зафіксовано щонайменше 233 успішні атаки з використанням Marstech1 на організації у США, Європі та Азії. Особливу небезпеку становить здатність малвару завантажувати додаткові шкідливі модулі з командного сервера, що дозволяє здійснювати складні багатоетапні атаки.
Інноваційні методи приховування
Аналіз показав використання передових технік обфускації коду, які раніше не спостерігалися в арсеналі Lazarus. Виявлено суттєві відмінності між версією малвару з GitHub та зразками з командного сервера, що свідчить про активний розвиток цього шкідливого інструменту.
Для захисту від подібних загроз організаціям рекомендується впровадити комплекс заходів безпеки: посилити моніторинг програмних залежностей, регулярно проводити аудит безпеки та використовувати багаторівневі системи захисту. Особливу увагу слід приділити перевірці джерел програмного забезпечення та контролю за ланцюгами постачання, оскільки саме вони стають головними векторами сучасних цільових кібератак.
