Lazarus Group взламывает крипто-кошельки скрытым вредоносным ПО

Lazarus Group раскрыли безопасники. Это скрытая вредоносная кампания из Северной Кореи. Последним её делом стало взламывание крипто-кошельков.

Кампания, которая начала развиваться в конце 2024 года, пишет xrust, является разработчиком недавно идентифицированного имплантата под названием «marstech1». Этот сложный инструмент знаменует собой значительную эволюцию тактического подхода группы. Его суть – внедрение уникального функционала.

Согласно анализу безопасников, злоумышленники создали сервер управления и контроля, размещенный на инфраструктуре Stark Industries LLC. В отличие от их предыдущих операций, которые обычно взаимодействовали через порты 1224 и 1245, этот новый сервер работает на порту 3000 и использует другую тактику, включая бэкэнд Node.js Express без ранее наблюдаемой веб-панели администратора React.

Исследователи обнаружили профиль GitHub, связанный с оператором Lazarus, работающим под именем пользователя «SuccessFriend». Эта учетная запись, активная с июля 2024 года, поддерживала видимость законной разработки, прежде чем в ноябре 2024 года начала публиковать репозитории, связанные с вредоносным ПО.

Вредоносное ПО использует сложные методы обфускации, включая выравнивание потока управления, самовызывающиеся функции, случайные имена переменных и функций, а также меры по борьбе с отладкой. Эта сложная архитектура позволяет вредоносному коду внедряться в легитимные веб-сайты, пакеты программного обеспечения и даже пакеты NPM, нацеленные на криптовалюту и секторы web3 .

Особую обеспокоенность вызывает специфическая направленность вредоносного ПО на криптовалютные кошельки. Имплант активно ищет криптовалютные кошельки Exodus и Atomic в системах Linux, MacOS и Windows, пытаясь сканировать и извлекать конфиденциальные данные из этих приложений.