Розробники з Північної Кореї захопили сплячий репозиторій Waves та вбудували код для крадіжки облікових даних у оновлення гаманця.

19 червня PANews повідомив, що за даними Cryptoslate, північнокорейському розробнику було надано розширений доступ до кодової бази Keeper-Wallet протоколу Waves. Обліковий запис “AhegaoXXX”, який з травня 2025 року надсилає оновлення до сплячої кодової бази, був пов’язаний з північнокорейськими організаціями IT-аутсорсингу. Огляд коду показав, що один коміт додав можливість надсилати журнали гаманця та помилки під час виконання до зовнішньої бази даних, потенційно викрадаючи мнемонічну фразу та приватний ключ. Хоча гілка не була об’єднана, зловмисники змогли випустити шість шкідливих NPM-пакетів, які довгий час не оновлювалися, взявши під контроль обліковий запис колишнього інженера Waves Максима Смолякова. Звіт про безпеку вказує на те, що цей інцидент демонструє, що північнокорейські хакери перейшли від звичайного аутсорсингу до безпосереднього контролю кодової бази. Рекомендується команді розробників посилити захист ланцюга постачання, включаючи аудит прав доступу учасників, очищення неактивних акаунтів та моніторинг перенаправлення репозиторіїв. Наразі обсяг завантаження постраждалого програмного забезпечення є невеликим, але існує ризик витоку облікових даних у користувачів Waves, які оновлюють Keeper-Wallet.