朝鲜威胁行为者被发现与之前未记录的 JavaScript 植入程序 Marstech1 有关,该植入程序是针对开发人员的有限针对性攻击的一部分。
一、背景与核心发现
-
Lazarus Group 开发了新型恶意软件植入工具 "Marstech1",其功能显著区别于早期版本,并采用独特的混淆技术
-
攻击范围:Marstech1 仅用于针对开发者供应链的定向攻击(2024年末至2025年1月),尚未广泛传播
-
关联证据:发现与攻击者关联的 GitHub 账号 "SuccessFriend",该账号自2024年11月起发布恶意代码仓库
二、技术分析
1. 混淆技术
-
JavaScript 植入层:控制流平坦化、随机变量命名、Base64编码、反调试检查、字符串拆分重组
-
Python 组件:采用 Base85编码 + 重复XOR解密 的两步混淆流程(如
pay_marstech1和brow_marstech1)
2. 植入功能
-
系统侦察:收集主机名、平台类型、用户目录等基础信息
-
加密货币钱包扫描:针对 Exodus 和 Atomic 钱包,遍历文件目录并窃取数据。
-
浏览器扩展篡改:注入恶意配置至 MetaMask 等插件,劫持加密货币交易
3. 数据外泄
-
通过 HTTP POST 请求将窃取数据发送至 C2 服务器(如
hxxp://74.119.194.129:3000/uploads) -
数据包包含时间戳、主机标识符及加密后的文件内容
三、攻击手法与基础设施
- C2 服务器:
-
使用 Node.js Express 后端,运行于非标准端口(如3000),无 React 管理面板
-
托管于 Stark Industries LLC,与历史活动(Operation 99/Phantom Circuit)存在关联但战术不同
-
- 供应链投毒:
-
将恶意代码嵌入 GitHub 仓库、NPM 软件包及合法网站,伪装成区块链/Web3工具
-
四、反分析机制
-
一次性执行包装:核心函数仅允许单次调用,后续调用无效化
-
控制台劫持:重写
console.log等函数,干扰调试输出
五、结论与建议
-
Lazarus Group 通过 Marstech1 展示了其在供应链攻击中的技术迭代能力,包括混淆技术升级、C2基础设施多样化及针对加密货币生态的精准打击
- 防御建议:
- 加强供应链代码审计,警惕开源仓库中的可疑组件。
- 监控非常规端口通信及浏览器扩展配置异常。
-
整合威胁情报(如 STRIKE 团队数据)实现主动防御
完整报告:https://securityscorecard.com/wp-content/uploads/2025/02/Operation-Marstech-Mayhem-Report_021025_03.pdf
-390x220.png)
