Разработчики из Северной Кореи захватили спящий репозиторий Waves и внедрили код для кражи учетных данных в обновление кошелька.

Новости Gate bot: согласно отчету Ketman от 18 июня, один из разработчиков из Северной Кореи получил более высокие права доступа в кодовой базе Keeper-Wallet протокола Waves.

В отчете основное внимание уделялось рутинному сканированию активности Северной Кореи на GitHub и было обнаружено, что учетная запись «AhegaoXXX» отправляла обновления в Keeper-Wallet.

После августа 2023 года в репозитории кошелька не было зарегистрировано ни одного легитимного коммита, но с мая 2025 года они получили несколько повышений зависимостей.

Анализ репозитория показывает, что пользователи могут открывать ветки, создавать версии и публиковать в реестр менеджера пакетов узлов (NPM), что дает операторам полный контроль над организацией.

Доклад затем связывает “AhegaoXXX” с группой подрядчиков ИТ-работников из Северной Кореи, которая ранее использовала фриланс-каналы для проникновения в программные проекты.

Обязанности этой учетной записи вышли за рамки простого обслуживания. Правила перенаправления в основной пространстве имен Waves теперь указывают на тот же пакет в новом активированном пространстве имен Keeper-Wallet, что указывает на то, что внутренние сотрудники переместили код из основной организации в проект кошелька.