Le groupe Lazarus cible les d�veloppeurs par le biais de paquets NPM et d'attaques de la cha�ne d'approvisionnement

Le logiciel malveillant "Marstech1" s'ex�cute par le biais de d�p�ts open-source manipul�s

Le groupe Lazarus cible les d�veloppeurs par le biais de paquets NPM et d'attaques de la cha�ne d'approvisionnement, le logiciel malveillant "Marstech1" s'ex�cute par le biais de d�p�ts open-source manipul�s

Le groupe Lazarus de Cor�e du Nord diffuse des logiciels malveillants de vol de cryptomonnaie via GitHub et des paquets NPM. Le logiciel malveillant "Marstech1" cible les portefeuilles Exodus et Atomic sous Linux, macOS et Windows. Les chercheurs ont confirm� 233 victimes, exhortant les d�veloppeurs � surveiller la s�curit� de la cha�ne d'approvisionnement.

Depuis quelques ann�es, les attaques de type "supply chain" ou cha�ne d'approvisionnement sont devenues un sujet de pr�occupation croissant pour les d�veloppeurs et les responsables de la s�curit� informatique. En novembre 2024, une vague de logiciels malveillants a cibl� le registre Node Package Manager (NPM), qui est largement utilis� dans l'�cosyst�me JavaScript. Dans ce cadre, des centaines de biblioth�ques (ou "packages" ont �t� publi�es avec un seul objectif : infecter les machines des d�veloppeurs et propager des logiciels malveillants.

R�cemment, des chercheurs auraient d�couvert une op�ration tr�s avanc�e de la Cor�e du Nord qui introduit en douce des logiciels malveillants de vol de cryptomonnaie dans des logiciels open-source. Cette campagne furtive est con�ue pour diffuser des logiciels malveillants et mettre en danger les utilisateurs qui ne se doutent de rien.

Les chercheurs STRIKE de SecurityScorecard ont d�clar� que le groupe Lazarus de Cor�e du Nord diffusait un code malveillant � ind�tectable � via GitHub et des paquets NPM dans le cadre de l'op�ration Marstech Mayhem. L'�quipe a d�clar� : "Les d�veloppeurs int�grent sans le savoir des d�p�ts infect�s dans leurs projets, ce qui met en p�ril les portefeuilles de cryptomonnaie et les cha�nes d'approvisionnement en logiciels."

STRIKE a d�couvert que le groupe avait con�u un implant avanc�, dont le nom de code est "marstech1". Ils ont ajout� : "Cet outil de pointe marque une �volution significative par rapport aux it�rations pr�c�dentes d�ploy�es dans les campagnes mondiales contre les d�veloppeurs, et pr�sente des am�liorations fonctionnelles uniques qui le distinguent nettement des autres."

🚨 North Korea�s @Lazarus Group is Targeting Developers�Again 🚨
The STRIKE team just uncovered Operation Marstech Mayhem�a new malware campaign spreading through @GitHub and NPM packages. Developers are unknowingly pulling infected repositories into their projects, putting� pic.twitter.com/1Cic14u1NP

— SecurityScorecard (@security_score) February 13, 2025

Selon des chercheurs en cybers�curit�, le profil GitHub de SuccessFriend, li� au tristement c�l�bre Groupe Lazarus, a inject� des implants JavaScript dans des r�f�rentiels, en les m�langeant avec du code l�gitime. Pour compliquer encore les choses, le profil a �galement inject� du code inoffensif, ce qui rend encore plus difficile la d�tection de ses intentions hostiles. Cet implant JavaScript cible sp�cifiquement les portefeuilles de cryptomonnaie Exodus et Atomic sous Linux, macOS et Windows. Une fois install�, l'acteur de la menace nord-cor�en analyse le syst�me � la recherche de portefeuilles de cryptomonnaies, tentant de lire le contenu des fichiers ou d'extraire des m�tadonn�es pour voler des informations sensibles.

Jusqu'� pr�sent, STRIKE a confirm� que 233 victimes ont �t� touch�es aux �tats-Unis, en Europe et en Asie. Ryan Sherstobitoff, vice-pr�sident de SecurityScorecard charg� de la recherche et du renseignement sur les menaces, a d�clar� : "L'introduction de l'implant Marstech1, avec ses techniques d'obscurcissement en couches - de l'aplatissement du flux de contr�le et du renommage dynamique des variables en JavaScript au d�cryptage XOR en plusieurs �tapes en Python - souligne l'approche sophistiqu�e de l'acteur de la menace pour �viter � la fois l'analyse statique et l'analyse dynamique."

Sherstobitoff a soulign� l'importance de rester � l'aff�t de ces menaces, en exhortant les organisations et les d�veloppeurs � prendre des mesures de s�curit� proactives. Il a ajout� que les organisations devaient "surveiller en permanence les activit�s de la cha�ne d'approvisionnement et int�grer des solutions avanc�es de renseignement sur les menaces afin d'att�nuer les risques."

En septembre 2024, le FBI a publi� un avis avertissant que la Cor�e du Nord avait agressivement cibl� les entreprises et les soci�t�s de cryptomonnaies, dans le but de financer potentiellement ses ambitions nationales, y compris le d�veloppement de missiles et d'armes nucl�aires. En outre, un rapport a r�v�l� que de faux tests de codage de recruteurs ciblaient les d�veloppeurs avec des paquets Python malveillants. Les chercheurs de ReversingLabs ont d�couvert que la campagne VMConnect du Groupe Lazarus se poursuivait avec des acteurs malveillants se faisant passer pour des recruteurs, utilisant des paquets et des noms d'entreprises financi�res pour attirer les d�veloppeurs.


Voici un extrait du rapport des chercheurs STRIKE de SecurityScorecard :

Operation Marstech Mayhem : Le pi�ge open-source du groupe Lazarus

Le groupe Lazarus de Cor�e du Nord modifie � nouveau ses tactiques. La derni�re campagne, baptis�e Operation Marstech Mayhem, pr�sente un implant avanc� baptis� "Marstech1". Ce logiciel malveillant est con�u pour compromettre les d�veloppeurs de logiciels et les portefeuilles de crypto-monnaies par le biais de d�p�ts open-source manipul�s. Contrairement aux op�rations Lazarus pr�c�dentes, cette campagne utilise des techniques d'obscurcissement qui rendent la d�tection nettement plus difficile.

Les d�veloppeurs sont la cible principale

L'�quipe STRIKE a d�couvert des d�p�ts GitHub associ�s � cette attaque. Les attaquants cr�ent de faux d�p�ts contenant des projets d'apparence l�gitime et int�grant des charges utiles JavaScript obscurcies. Ces d�p�ts sont promus sur des plateformes fr�quent�es par les d�veloppeurs, telles que LinkedIn et Discord. Lorsqu'une victime clone et ex�cute le d�p�t, le logiciel malveillant s'ex�cute silencieusement en arri�re-plan.

Fonctionnement du logiciel malveillant

L'implant Marstech1 fonctionne en plusieurs �tapes :

• �tape 1 : un chargeur JavaScript se connecte � un serveur de commande et de contr�le (C2).
• �tape 2 : Le chargeur t�l�charge des charges utiles suppl�mentaires en fonction de la configuration du syst�me de la victime.
• �tape 3 : le logiciel malveillant exfiltre les donn�es du portefeuille de cryptomonnaies et les informations d'authentification.

Ce logiciel malveillant est con�u pour persister dans l'environnement d'un d�veloppeur, ce qui permet un acc�s continu et une exploitation plus pouss�e.

Techniques d'obscurcissement

L'�quipe STRIKE a observ� plusieurs techniques utilis�es pour �chapper � la d�tection :

• Codage en Base85 et d�cryptage XOR : Les charges utiles sont cod�es en Base85 et d�chiffr�es � l'aide d'une cl� r�p�titive de 8 octets.
• Aplatissement du flux de contr�le : Le logiciel malveillant r�organise les chemins d'ex�cution pour rendre difficile l'ing�nierie inverse.
• Fonctions auto-invoqu�es : L'implant s'ex�cute sans s'appuyer sur les appels de fonction traditionnels, ce qui emp�che une analyse statique facile.
• Fonctionnalit�s anti-d�bogage : Le logiciel malveillant d�tecte et �vite les environnements de bac � sable.

L'infrastructure en expansion du Groupe Lazarus

L'�quipe STRIKE a �tabli un lien entre cette campagne et des op�rations Lazarus d�j� identifi�es. Les serveurs C2 impliqu�s dans Marstech Mayhem fonctionnent sur le port 3000 et n'ont pas le panneau d'administration web bas� sur React vu dans Operation Phantom Circuit. Au lieu de cela, ils utilisent des backends Node.js Express, ce qui marque un changement dans les tactiques d'infrastructure de Lazarus.

Le cauchemar de la cha�ne d'approvisionnement

Lazarus int�gre d�sormais ses logiciels malveillants dans les paquets NPM, ce qui les rend presque impossibles � d�tecter pour les d�veloppeurs sans un contr�le approfondi. Les organisations qui utilisent des d�pendances open-source pourraient, sans le savoir, introduire du code malveillant dans leurs applications. Cela �tend la surface d'attaque au-del� des d�veloppeurs individuels � des �cosyst�mes logiciels entiers.

M�canismes de vol de cryptomonnaies

Marstech1 est configur� pour rechercher des portefeuilles de cryptomonnaies tels qu'Exodus, Atomic et MetaMask sous Windows, macOS et Linux. Il cible les r�pertoires des portefeuilles, extrait les cl�s priv�es et les envoie au serveur C2. En outre, l'implant peut modifier les fichiers de configuration du navigateur pour injecter des charges utiles furtives susceptibles d'intercepter les transactions.

Attribution et enqu�te de STRIKE

L'�quipe STRIKE a retrac� cette activit� jusqu'aux profils GitHub contr�l�s par les op�rateurs de Lazarus. Ces profils ont l'habitude de publier du code l�gitime et du code obscurci. Les r�f�rentiels utilis�s dans cette campagne sont h�berg�s sur des infrastructures li�es � de pr�c�dentes cyber-op�rations nord-cor�ennes. Le profil "SuccessFriend" est actif depuis juillet 2024 et publie fr�quemment des logiciels propres et malveillants, ce qui rend la d�tection plus difficile.

L'ampleur croissante de l'attaque

STRIKE a confirm� 233 victimes aux �tats-Unis, en Europe et en Asie. Compte tenu de l'utilisation g�n�ralis�e des packages open-source, ce nombre devrait augmenter. Les d�veloppeurs qui int�grent ces d�pendances compromises risquent de propager le logiciel malveillant plus loin, en l'int�grant dans des projets utilis�s par des millions de personnes dans le monde.

Mesures d�fensives

Pour att�nuer les risques associ�s � cette attaque :

• V�rifier les sources du code : Ne cloner que des d�p�ts provenant de contributeurs connus et v�rifi�s.
• Surveiller le trafic r�seau : Rechercher les connexions anormales aux serveurs C2.
• Utiliser la protection des points finaux : D�ployer des outils de s�curit� capables de d�tecter les scripts obscurcis.
• Auditer les d�pendances : V�rifier r�guli�rement si des modifications inattendues ont �t� apport�es � des biblioth�ques tierces.

L'urgence d'agir

Marstech Mayhem repr�sente une escalade strat�gique dans les op�rations de cyberattaque de Lazarus. En ciblant directement les d�veloppeurs, le groupe peut infiltrer les projets et les entreprises en aval. Les organisations qui s'appuient sur des logiciels open-source doivent renforcer leur dispositif de s�curit� afin d'�viter une compromission g�n�ralis�e.

Source : STRIKE de SecurityScorecard

Et vous ?

Pensez-vous que ce rapport est cr�dible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Des pirates nord-cor�ens ont vol� 1,3 milliard de dollars de cryptomonnaies cette ann�e, repr�sentant 61 % des pertes mondiales

GitHub est assi�g� par des millions de d�p�ts malveillants dans le cadre d'une attaque en cours, d'apr�s Apiiro. GitHub ne cesse de supprimer les d�p�ts malveillants, mais il en reste des milliers

Des pirates nord-cor�ens seraient � l'origine du piratage de 230 millions de dollars de WazirX, la bourse de cryptomonnaies indienne. Un rapport d'analyse de la blockchain qualifie le vol de sans pr�c�dent