据Ketman6月18日报告披露,一名朝鲜开发者获得了Waves协议Keeper-Wallet代码库的高级权限。
该报告重点追踪了GitHub上的朝鲜活动,发现账户”AhegaoXXX”正在向Keeper-Wallet推送更新。
该钱包代码库自2023年8月后无合法提交记录,但自2025年5月起却出现多次依赖项升级。
代码库分析显示,该用户可创建分支、发布版本并更新至NPM仓库,意味着攻击者已完全掌控该组织。
报告将”AhegaoXXX”与朝鲜IT外包组织关联,该组织此前通过自由职业渠道渗透软件项目。
该账户权限远超日常维护范畴。Waves协议主命名空间的重定向规则现已指向Keeper-Wallet新命名空间中的相同软件包,暗示有内鬼将核心代码转移至钱包项目。
可疑代码变更
报告特别指出”Keeper-Wallet/Keeper-Wallet-Extension”中新增了将钱包日志和运行时错误导出至外部数据库的功能。
该修改会在传输前捕获助记词和私钥,极可能用于凭证窃取。虽然该分支尚未合并,但其存在表明攻击者意图将代码植入正式版本。
NPM记录显示沉寂两年的”@waves/provider-keeper”、”@waves/waves-transactions”等六个软件包突然更新。
所有更新均标注前Waves工程师Maxim Smolyakov的账户”msmolyakov-waves”为维护者。GitHub记录显示该账户自2023年休眠后,近期突然批准”AhegaoXXX”的拉取请求并在四分钟内触发NPM发布。
报告评估该工程师凭证已落入朝鲜控制,为攻击者提供了第二条可信分发链。
供应链威胁与防御建议
报告称这种从自由职业渗透转向直接控制代码库的行为,标志着朝鲜常规外包与显性黑客行动的”异常交叉”。
受影响软件包下载量虽低,但任何安装或更新Keeper-Wallet的Waves用户都可能导入向恶意服务器传输密钥的代码。
报告建议开发团队加强供应链防御:审计贡献者权限、清理GitHub组织休眠成员、追踪软件包发布权限、监控npm/Docker等生态的重定向行为。
最后,机构应定期核查发布者邮箱域名,以识别可能批准恶意更新的休眠账户。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/5484.html
