Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Северокорейские хакеры нацелились на крипторазработчиков

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 04-23-2025, 12:11 PM
dumpsgood's Avatar

dumpsgood dumpsgood is offline
Banned
Join Date: Jul 2024
Posts: 0
Default

Исследователи из компании SecurityScorecard https://securityscorecard.com/wp-con..._021025_03.pdf, что северокорейская хак-группа Lazarus использует ранее неизвестную JavaScript-малварь Marstech1 в целевых атаках на разработчиков.
Эта вредоносная кампания получила название Marstech Mayhem. Исследователи рассказывают, что малварь удалось отследить до публичного репозитория на GitHub, связанного с профилем SuccessFriend. Этот аккаунт был активен с июля 2024 года, но в настоящее время уже заблокирован.
Новая малварь предназначается для сбора системной информации и может встраиваться в сайты или пакеты npm, что создает риски атак на цепочки поставок. Ее основная задача — поиск по каталогам Chromium-браузеров и изменение настроек расширений, в частности, связанных с криптовалютными кошельками MetaMask, Exodus и Atomic под Windows, Linux и macOS. Также вредонос способен загружать дополнительные полезные нагрузки со своего управляющего сервера.
По данным специалистов, впервые активность Marstech1 была замечена в конце декабря 2024 года, и ее жертвами стали не менее 233 человек из США, стран Европы и Азии.
«В профиле SuccessFriend упоминались навыки веб-разработки и изучения блокчейна, что вполне соответствует интересам Lazarus. Злоумышленник коммитил обфусцированные и предварительно обфусцированные полезные нагрузки в различные GitHub-репозитории», — пишут эксперты SecurityScorecard.
Кроме того, вредоносный JavaScript внедрялся в пакеты npm, которые были связаны с различными криптовалютными проектами. К сожалению, не сообщается, что это были за пакеты, насколько они популярны и легко ли их найти.
Исследователи отмечают, что малварь использует несколько уровней обфускации, которые ранее не встречались у Lazarus. Это позволяет Marstech1 оставаться незамеченной при встраивании в программные пакеты. Так, в ходе анализа были выявлены следующие техники:
изменение потока управления и самовызов функций;
случайные имена переменных и функций;
кодирование строк Base64;
антиотладка (защита от вмешательства);
разделение и последующая сборка строк.
При этом версия малвари, доступная в репозитории на GitHub, отличалась от версии, которая загружалась непосредственно с управляющего сервера по адресу 74.119.194[.]129:3000/j/marstech1. То есть, вероятно, что вредонос еще находится в стадии разработки.
© https://xakep.ru/2025/02/17/marstech1/
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 09:50 PM.

Contact Us - Carder.life - Archive - Top