طبق گزارش Ketman که در تاریخ ۱۸ ژوئن منتشر شد، یکی از توسعه‌دهندگان کره شمالی موفق به دست‌یابی به سطح دسترسی بالا در کدبیس کیف پول Keeper-Wallet در پروتکل Waves شده است.

این گزارش به اسکن‌های دوره‌ای برای شناسایی فعالیت‌های مرتبط با جمهوری دموکراتیک خلق کره (DPRK) در GitHub اشاره دارد که در آن، حساب کاربری‌ای با نام "AhegaoXXX" شناسایی شده که اقدام به ثبت به‌روزرسانی‌هایی در پروژه Keeper-Wallet کرده است.

مخازن (repositories) این کیف پول از آگوست ۲۰۲۳ به بعد فاقد commit معتبر بوده‌اند، اما از ماه مه ۲۰۲۵، چندین بار به‌روزرسانی در وابستگی‌های آن‌ها صورت گرفته است.

بررسی‌های تحلیلی نشان می‌دهد که این کاربر توانایی ایجاد شاخه (branch)، انتشار نسخه (release) و انتشار بسته‌ها در Node Package Manager (NPM) را دارد؛ که در عمل به او کنترل کامل بر این سازمان توسعه‌دهنده می‌دهد.

گزارش Ketman این حساب کاربری را به حلقه‌های قراردادی کارگران IT کره شمالی مرتبط دانسته که پیش‌تر از طریق پلتفرم‌های فریلنس، وارد پروژه‌های نرم‌افزاری شده بودند.

دسترسی این حساب تنها به نگهداری پروژه محدود نبوده است. قوانین redirect در فضای نام اصلی Waves Protocol اکنون به بسته‌هایی با همان نام در فضای فعال جدید Keeper-Wallet اشاره دارد که نشان می‌دهد کدها توسط یک نفوذی از سازمان اصلی به پروژه کیف منتقل شده‌اند.

تغییرات مشکوک در کد

در گزارش آمده که یک commit در مسیر “Keeper-Wallet/Keeper-Wallet-Extension” عملکردی را اضافه کرده که لاگ‌های کیف پول و خطاهای زمان اجرا را به یک پایگاه‌داده خارجی ارسال می‌کند.

این روتین اصلاح‌شده، عبارت بازیابی (mnemonic phrases) و کلیدهای خصوصی را قبل از ارسال، جمع‌آوری می‌کند؛ که احتمال سرقت اطلاعات حساس را افزایش می‌دهد. این شاخه هنوز merge نشده، اما وجود آن نشان‌دهنده نیت برای افزودن کد مخرب به نسخه تولیدی است.

سوابق NPM registry نیز فعالیت‌های مرتبط را تأیید می‌کنند. نسخه‌های بسته‌هایی مانند “@waves/provider-keeper”، “@waves/waves-transactions” و چهار بسته دیگر، پس از دو سال توقف، ناگهان به‌روزرسانی شده‌اند.

در هر انتشار، "msmolyakov-waves" به‌عنوان maintainer ثبت شده است. تاریخچه GitHub نشان می‌دهد این حساب متعلق به مهندس پیشین Waves، Maxim Smolyakov بوده و از سال ۲۰۲۳ غیرفعال مانده تا اینکه یک Pull Request از "AhegaoXXX" را تأیید کرده و تنها ظرف چهار دقیقه انتشار جدیدی در NPM انجام داده است.

ارزیابی گزارش نشان می‌دهد که اطلاعات کاربری این مهندس اکنون تحت کنترل DPRK قرار دارد و این مهاجم از مسیر دوم و مورد اعتماد، قادر به انتشار نسخه‌های مخرب است.

افشای زنجیره تأمین و اقدامات پیشگیرانه

این تغییر از فعالیت‌های فریلنس به کنترل مستقیم پروژه، در گزارش به‌عنوان «تلاقی غیرمعمول» میان کار قراردادی معمول کره شمالی و کمپین آشکار هک معرفی شده است.

اگرچه تعداد دانلود بسته‌های آسیب‌دیده پایین است، اما هر کاربر Waves که Keeper-Wallet را نصب یا به‌روزرسانی کند، در خطر وارد کردن کدی است که عبارت‌های محرمانه را به سروری مخرب ارسال می‌کند.

این گزارش به تیم‌های توسعه پیشنهاد می‌کند که دفاع‌های زنجیره تأمین خود را تقویت کنند؛ از جمله بررسی دسترسی مشارکت‌کنندگان، حذف اعضای غیرفعال از سازمان‌های GitHub، پیگیری افرادی که امکان انتشار بسته دارند و مانیتورینگ redirect در اکوسیستم‌هایی مانند npm و Docker.

در پایان، شرکت نویسنده گزارش پیشنهاد می‌دهد که بازبینی منظم دامنه‌های ایمیل ناشران نیز برای شناسایی حساب‌های غیرفعال که ممکن است بروزرسانی‌های مخرب را تأیید کنند، انجام شود.