Lazarus Group Despliega el Malware Marstech1 en Ataques a Desarrolladores

El grupo de hackers Lazarus, vinculado al gobierno de Corea del Norte, ha sido identificado como responsable de un nuevo implante de JavaScript malicioso denominado Marstech1. Este malware, previamente no documentado, ha sido utilizado en ataques dirigidos contra desarrolladores como parte de la operación Marstech Mayhem, revelada por SecurityScorecard.

El ataque se ha propagado a través de un repositorio de código abierto en GitHub, alojado bajo el perfil "SuccessFriend", activo desde julio de 2024 y posteriormente eliminado. Marstech1 representa una seria amenaza para la cadena de suministro de software, ya que puede integrarse en sitios web y paquetes de NPM, permitiendo la filtración de datos y la ejecución de ataques adicionales.

Detalles del Ataque Marstech1: ¿Cómo Funciona?

📌 Fecha de detección: diciembre de 2024.
📌 Víctimas confirmadas: 233 en EE. UU., Europa y Asia.
📌 Método de entrega: repositorios GitHub con código preofuscado.
📌 Objetivo principal: modificar configuraciones en navegadores basados en Chromium y atacar billeteras de criptomonedas.

Según SecurityScorecard, el implante encontrado en GitHub es diferente de la versión descargada desde el servidor de comando y control (C2), alojado en 74.119.194[.]129:3000/j/marstech1, lo que indica que está en desarrollo activo.

Capacidades del Malware Marstech1

Este malware avanzado puede:

🔹 Buscar y modificar configuraciones en navegadores Chromium en Windows, macOS y Linux.
🔹 Alterar extensiones de criptomonedas, con especial énfasis en MetaMask.
🔹 Descargar cargas útiles adicionales desde su servidor en el puerto 3001.
🔹 Robar datos de billeteras de criptomonedas, como Exodus y Atomic.
🔹 Enviar información robada al servidor de control en 74.119.194[.]129:3000/subidas.

La sofisticación del implante se basa en técnicas avanzadas de evasión de análisis, como:

🔸 Ofuscación de código en múltiples capas.
🔸 Aplanamiento del flujo de control en JavaScript.
🔸 Descifrado XOR de múltiples etapas en Python.
🔸 Cambio dinámico de nombres de variables.

Conexión con la Campaña Contagious Interview

Este descubrimiento se produce poco después de que Recorded Future revelara que Lazarus Group atacó tres empresas del sector de criptomonedas entre octubre y noviembre de 2024 como parte de la campaña Contagious Interview.

Las víctimas incluyen:

✅ Una empresa de creación de mercado.
✅ Un casino en línea.
✅ Una empresa de desarrollo de software.

El grupo detrás de estos ataques es rastreado bajo varios nombres:

🔹 PurpleBravo
🔹 CL-STA-0240
🔹 Famous Chollima
🔹 Tenacious Pungsan

Según Recorded Future, trabajadores de TI norcoreanos están utilizando esquemas fraudulentos de empleo para infiltrarse en empresas y llevar a cabo espionaje cibernético.

Riesgos Legales y Consecuencias Empresariales

Las organizaciones que, sin saberlo, contratan desarrolladores norcoreanos, pueden enfrentar:

⚠ Violaciones de sanciones internacionales.
⚠ Repercusiones legales y financieras.
⚠ Amenazas internas, robo de datos y puertas traseras.

"Estos trabajadores casi seguro actúan como amenazas internas, robando información patentada e introduciendo puertas traseras para facilitar operaciones cibernéticas de mayor envergadura", advierte Recorded Future.

Cómo Protegerse del Malware Marstech1 y Lazarus Group

🔐 Verifique la autenticidad de los repositorios GitHub antes de integrarlos en sus proyectos.
🔐 Utilice soluciones avanzadas de seguridad para detectar ofuscación de código.
🔐 Monitoree el tráfico de red en busca de conexiones sospechosas con servidores C2.
🔐 Asegure billeteras de criptomonedas con autenticación multifactor.
🔐 Evite contratar trabajadores de TI con posibles vínculos con Corea del Norte.

Lazarus Group y la Evolución del Cibercrimen

El uso del implante Marstech1 y las campañas de Contagious Interview confirman que Lazarus Group sigue evolucionando sus tácticas para infiltrarse en sistemas de alto valor.

Este grupo no solo explota vulnerabilidades en repositorios de código abierto, sino que también utiliza ingeniería social y fraudes de contratación para acceder a redes empresariales críticas.

Las empresas deben reforzar sus controles de seguridad en la cadena de suministro, auditar sus sistemas en busca de código malicioso y mantenerse actualizadas sobre las tácticas de amenazas emergentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta