Разработчики из Северной Кореи захватили спящий репозиторий Waves и внедрили код для кражи учетных данных в обновление кошелька.

19 июня PANews сообщил, что, по данным Cryptoslate, северокорейскому разработчику был предоставлен расширенный доступ к кодовой базе Keeper-Wallet протокола Waves. Аккаунт «AhegaoXXX», который с мая 2025 года занимается обновлением спящей кодовой базы, был связан с северокорейскими ИТ-аутсорсинговыми организациями. Проверка кода показала, что один коммит добавил возможность отправлять логи кошелька и ошибки времени выполнения во внешнюю базу данных, потенциально украв мнемоническую фразу и приватный ключ. Несмотря на то, что ветка не была объединена, злоумышленники смогли выпустить шесть вредоносных NPM-пакетов, которые давно не обновлялись, взяв под контроль аккаунт бывшего инженера Waves Максима Смолякова. Отчет по безопасности указывает на то, что этот инцидент показывает, что северокорейские хакеры перешли от обычного проникновения через аутсорсинг к прямому контролю над кодовой базой. Рекомендуется, чтобы команды разработчиков усилили защиту цепочки поставок, включая аудит прав доступа авторов, очистку неактивных учетных записей и мониторинг перенаправления репозиториев. В настоящее время объем загрузок затронутого программного обеспечения невелик, но обновление Keeper-Wallet для пользователей Waves создает риск утечки учетных данных.