O Lazarus Group, grupo de hackers vinculado ao governo da Coreia do Norte, foi identificado como responsável por ataques direcionados a desenvolvedores por meio de um implante JavaScript chamado Marstech1. A campanha, batizada de Marstech Mayhem pela SecurityScorecard, explora repositórios open-source no GitHub para disseminar o malware, representando um risco significativo para a cadeia de suprimentos de software. O ataque foi rastreado até um perfil no GitHub chamado “SuccessFriend”, ativo desde julho de 2024 e removido recentemente. O Marstech1 é projetado para coletar informações do sistema e pode ser incorporado em sites e pacotes NPM, permitindo que os hackers altere configurações de extensões em navegadores baseados no Chromium.

Seu principal alvo são carteiras de criptomoedas, como MetaMask, Exodus e Atomic, afetando sistemas Windows, Linux e macOS. Pesquisadores descobriram que a versão do Marstech1 armazenada no GitHub difere da variante distribuída diretamente pelo servidor de comando e controle (C2) dos hackers, localizado em 74.119.194[.]129:3000/j/marstech1, indicando que o malware ainda está em desenvolvimento. Além de capturar dados confidenciais, ele pode baixar cargas adicionais de outro servidor para ampliar o ataque. Até o momento, 233 vítimas confirmadas foram identificadas nos Estados Unidos, Europa e Ásia.

O Marstech1 se destaca pelo uso avançado de técnicas de ofuscação, incluindo flattening de fluxo de controle, renomeação dinâmica de variáveis em JavaScript e descriptografia XOR em várias etapas via Python, dificultando a detecção por soluções de segurança convencionais. A revelação desse ataque acontece enquanto a Recorded Future investiga outra campanha cibernética norte-coreana chamada Contagious Interview, que entre outubro e novembro de 2024, atacou três empresas do setor de criptomoedas, incluindo uma plataforma de negociação, um cassino online e uma empresa de desenvolvimento de software.