Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
O desenvolvimento norte-coreano seqüestra repositórios adormecidos de ondas, desliza o código de roubo de credenciais nas atualizações da carteira
Um desenvolvedor norte -coreano ganhou privilégios elevados dentro Ondas Base de código de paraletas de guardião do protocolo, de acordo com um Relatório de 18 de junho por Ketman.
O relatório destacou as varreduras de rotina para a atividade da República Popular Democrática da Coréia (RPDC) no Github, que descobriu o relato “Ahegaoxxx”, empurrando atualizações para o Keeper Wallet.
Os repositórios da carteira não mostraram compromissos legítimos após agosto de 2023, mas eles receberam múltiplos solavancos de dependência a partir de maio de 2025.
O Repositório Analytics indicou que o usuário pode abrir ramificações, criar versões e publicar no Registro do Node Package Manager (NPM), dando ao operador controle completo sobre a organização.
O relatório então vinculou “ahegaoxxx” a anéis de contratação de Trabalhadores de TI da DPRCque já havia usado canais freelancers para se infiltrar em projetos de software.
O alcance da conta se estendeu além da simples manutenção. Redirecionar as regras para dentro do espaço para nome do protocolo principal do Protocolo agora apontam para pacotes idênticos dentro do espaço para nome de cochilas recém-ativas, sugerindo que um insider moveu o código da organização principal para o projeto Wallet.
Alterações suspeitas de código
O relatório também mencionou uma confirmação dentro de “Keeper-Wallet/Keeper-Wallet-Extension” que adiciona uma função exportando logs da carteira e erros de tempo de execução a um banco de dados externo.
A rotina modificada captura frases mnemônicas e chaves privadas antes da transmissão, aumentando a probabilidade de exfiltração de credenciais. A filial permanece não -dominada, mas sua presença indica uma intenção de incluir o código em uma liberação de produção.
Os registros do registro da NPM refletem a atividade relacionada. Versões de “@Waves/Provider-Guest”, “@Waves/Waves-Transactions” e quatro outros pacotes avançaram de repente após dois anos de dormência.
Cada publicação lista “Msmolyakov-ondas” como mantenedor. A história do Github mostra que a conta pertencia ao ex -engenheiro de ondas Maxim Smolyakov e não exibiu atividade desde 2023 até aprovar uma solicitação de tração de “Ahegaoxxx” e desencadeou uma nova liberação do NPM em menos de quatro minutos.
O relatório avaliou que as credenciais do engenheiro agora se enquadram no controle da RPDC, fornecendo ao invasor um segundo caminho confiável para distribuir construções maliciosas.
Exposição da cadeia de suprimentos e contramedidas
A mudança do freelancer isolado para o controle de repositório direto marca o que o relatório chamou de “cruzamento incomum” entre o trabalho de contrato com RPDC comum e uma campanha de hackers aberta.
As contagens de download para pacotes afetadas permanecem baixas, mas qualquer usuário do Waves que instala ou atualiza correr o risco de importação que encaminhe frases secretas para um servidor hostil.
A publicação aconselhou as equipes de desenvolvimento a apertar as defesas da cadeia de suprimentos, incluindo privilégios de contribuintes de auditoria, removendo membros inativos de organizações de Github, rastreando quem pode desencadear lançamentos de pacotes e monitorar o repositório de redirecionamentos em ecossistemas como NPM e Docker.
Por fim, a empresa incentivou revisões regulares dos domínios de e-mail do editor para detectar contas adormecidas que poderiam aprovar atualizações desonestas.
