Lazarus Group Ataca Cadeia de Suprimentos com Malware Sofisticado
A ameaça cibernética nunca esteve tão presente, e a recente campanha do Lazarus Group, conhecida como “Marstech Mayhem”, traz à tona a urgência da segurança digital. Este artigo explora como o notório grupo de hackers da Coreia do Norte está empregando táticas avançadas de malware para atingir especificamente carteiras de criptomoedas e comprometer a cadeia de suprimentos de software.
Lazarus Group Ataca Cadeia de Suprimentos com Malware Sofisticado
O Surgimento do “Marstech Mayhem”
Conforme revelado pela SecurityScorecard, a operação Marstech Mayhem teve início no final de 2024 e se caracteriza pelo uso de um novo implante de malware, denominado “marstech1”. Este instrumento sofisticado representa uma evolução nas táticas do grupo, apresentando melhorias funcionais que o distinguem de campanhas anteriores.
Um dos principais elementos dessa campanha é a criação de um servidor de comando e controle, que está hospedado nas infraestruturas da Stark Industries LLC. Diferente das operações anteriores do Lazarus Group, que frequentemente utilizavam portas 1224 e 1245, o novo servidor está operando na porta 3000, utilizando táticas inovadoras que incluem um backend Node.js Express, sem o painel administrativo React que era uma característica comum antes.
A Biblioteca GitHub Ligada ao Lazarus Group
Uma descoberta alarmante feita pelos pesquisadores indica que o operador do Lazarus possui um perfil no GitHub sob o nome de usuário “SuccessFriend”. Desde julho de 2024, esse perfil apresentou um conteúdo que aparentava ser de desenvolvimento legítimo, mas começou a publicar repositórios relacionados a malware em novembro de 2024. Isso exemplifica a capacidade do grupo em trabalhar sob um véu de legitimidade para camuflar suas ações maliciosas.
Táticas e Alvos do Malware
O relatório da SecurityScorecard destaca que o implante Marstech está sendo utilizado em ataques direcionados limitados à cadeia de suprimentos. Desde suas aparições em 2024 até janeiro de 2025, o malware demonstrou um alto nível de sofisticação em suas técnicas de obfuscação e exfiltração de dados. Entre as estratégias empregadas estão:
- Obfuscação Complexa: Uso de técnicas como flattening de fluxo de controle e nomes de variáveis e funções aleatórias.
- Infiltração em Sites Legítimos: O código malicioso está embutido em websites legítimos e pacotes de software, particularmente aqueles que visam os setores de criptomoeda e web3.
- Foco em Carteiras de Criptomoedas: O malware busca especificamente carteiras como Exodus e Atomic, tentando extrair informações confidenciais em sistemas Linux, MacOS e Windows.
Além disso, o grupo desenvolveu um implante baseado em Python que manipula configurações de navegadores, visando a extensão MetaMask e atacando diretórios específicos em diferentes sistemas operacionais.
Conclusão
A campanha Marstech Mayhem ilustra a evolução crítica das táticas do Lazarus Group em ataques à cadeia de suprimentos, destacando sua capacidade de adaptação e compromisso com a furtividade. Este evento serve como um lembrete da contínua ameaça representada por atores patrocinados pelo Estado norte-coreano e da crescente complexidade dos ataques direcionados.
Para proteger-se contra essas ameaças, é essencial que indivíduos e organizações invistam em medidas robustas de segurança cibernética e mantenham-se atualizados sobre as últimas tendências em proteção digital. Se você deseja saber mais sobre cibersegurança e tecnologia em nuvem, considere participar de conferências e eventos especializados. Compartilhe este conteúdo para aumentar a conscientização sobre as ameaças que persistem no ambiente digital!
