Lazarus Group, Marstech1 자바스크립트 임플란트 배포

Lazarus Group Deploys Marstech1 JavaScript Implant in Targeted Developer Attacks

 

• 공격 개요
  • Lazarus Group은 Marstech1 이라는 자바스크립트 임플란트를 사용하여 개발자들을 대상으로 한 표적 공격을 진행
  • 공격은 GitHub의 오픈 소스 저장소를 통해 이루어졌으며, "SuccessFriend"라는 프로필을 통해 배포됨
  • 해당 프로필은 2024년 7월부터 활동을 시작했으나 현재는 접속 불가
• 배포 방식
  • GitHub 저장소에 포함된 임플란트는 웹사이트나 NPM 패키지에 삽입되어 공급망 공격을 유발할 수 있음
  • Marstech1 임플란트는 시스템 정보를 수집하고, MetaMask와 같은 암호화폐 지갑과 관련된 브라우저 설정을 변경
  • 233명의 피해자가 발생했으며, 주로 미국, 유럽, 아시아에 위치
• 기술적 특징
  • Chromium 기반 브라우저의 디렉터리에서 설정을 검색하고 수정
  • MetaMask, Exodus, Atomic 지갑을 포함한 여러 암호화폐 지갑을 타겟으로 함
  • 추가 페이로드를 74.119.194[.]129:3001 서버에서 다운로드 가능
  • 복잡한 우회 기법을 사용하여 분석을 회피: 제어 흐름 평탄화, 동적 변수 이름 변경, 다단계 XOR 복호화 기술 적용
• 데이터 유출 및 exfiltration
  • 수집된 데이터는 "74.119.194[.]129:3000/uploads"로 전송됨
  • 암호화폐 지갑 관련 민감한 정보를 탈취하는 것이 주요 목표
• 확대된 공격 패턴
  • Lazarus Group은 이 공격 외에도 다양한 공격 캠페인을 진행 중
  • Contagious Interview 캠페인과 관련된 암호화폐 분야의 조직들을 타겟으로 한 공격이 확인됨
  • 북한 IT 인력을 고용한 기업들은 법적, 재정적 위험에 직면할 수 있음
• 보안 권고
  • 오픈 소스 저장소와 관련된 의심스러운 활동을 모니터링
  • 암호화폐 지갑의 보안을 강화하고, 다중 인증(MFA)을 통해 보안을 강화
  • 정적 및 동적 분석 도구를 활용하여 악성 코드 탐지 능력 향상
  • 국제 제재 대상 국가의 IT 인력 고용 시 법적 위험에 유의