Un Nou Nivel de Amenințare: Hackerii Nord-Coreeni Țintesc Lanțurile de Aprovizionare Software
Recent, un raport a scos la iveală o breșă de securitate de proporții în cadrul Waves Protocol, unde un dezvoltator din Coreea de Nord a dobândit acces privilegiat asupra codului Keeper-Wallet. Această activitate suspectă a fost detectată pe platforma GitHub, contul misterios „AhegaoXXX” operând fără contribuții legitime după august 2023.
Descoperirile arată că de la începutul lunii mai 2025, s-au efectuat numeroase actualizări ale dependențelor în cadrul repozitoriilor. Utilizatorul avea capacitatea de a deschide ramuri și de a crea noi versiuni pentru Node Package Manager (NPM), ceea ce i-a oferit control aproape total asupra organizației. Legătura sa cu rețelele de lucrători IT din Coreea de Nord, cunoscuți pentru infiltrarea în proiecte software prin canale freelance, sugerează un nou tip de amenințare cibernetică.
Codul Malefic și Potențialul său Periculos
Printre cele mai alarmante modificări se numără adăugarea unei funcții în cadrul „Keeper-Wallet/Keeper-Wallet-Extension”, care exportă jurnale și erori către o bază de date externă. Aceasta are potențialul de a captura date sensibile, precum fraze mnemonice și chei private, cu risc crescut de a fi exfiltrate. Chiar dacă ramura respectivă nu a fost încă fuzionată, prezența sa indică o intenție clară de a o introduce în versiunea de producție.
Activitatea înregistrată pe NPM arată un tipar similar, cu pachetele „@waves/provider-keeper” și „@waves/waves-transactions” având versiuni noi după doi ani de stagnare. Fiecare actualizare îl menționează pe „msmolyakov-waves” ca menținător, un cont asociat fostului inginer al Waves, Maxim Smolyakov, care a reactivat brusc activitatea pentru a aproba modificările propuse de „AhegaoXXX”.
Măsuri de Protecție împotriva Amenințărilor Cibernetice
Schimbarea de la acțiuni de freelancing la control direct asupra repozitoriilor reprezintă o evoluție periculoasă între contractarea tradițională a DPRK și atacurile cibernetice deschise. Deși numărul de descărcări pentru pachetele afectate este redus, orice utilizator care actualizează Keeper-Wallet riscă să importe un cod compromițător.
Experții sugerează consolidarea apărării lanțului de aprovizionare prin audituri stricte ale privilegiilor contribuabililor, eliminarea membrilor inactivi din organizațiile GitHub și monitorizarea atentă a redirecționărilor în ecosisteme precum npm și Docker. Se recomandă, de asemenea, verificarea regulată a domeniilor de e-mail ale editorilor pentru a preveni aprobarea neautorizată a actualizărilor periculoase.
