يختفي كوريا الشمالية dev مستودعات الأمواج النائمة ، وينزلق رمز سرقة بيانات الاعتماد في تحديثات المحفظة
اكتسب مطور كوري شمالي امتيازات مرتفعة داخل قاعدة كود المحفظة على بروتوكول بروتوكول ، وفقا ل 18 يونيو تقرير بقلم كيتمان.
سلط التقرير الضوء على عمليات المسح الروتينية لنشاط جمهورية كوريا الديمقراطية (DPRK) على GitHub ، والذي كشف عن حساب “Ahegaoxxx” الذي يدفع التحديثات إلى المحفظة.
لم تُظهر مستودعات المحفظة أي ارتباط شرعي بعد أغسطس 2023 ، ومع ذلك تلقوا عدة نتوءات تبعية تبدأ في مايو 2025.
أشارت تحليلات المستودع إلى أنه يمكن للمستخدم فتح الفروع ، وإنشاء الإصدارات ، والنشر إلى سجل Manager Node Package (NPM) ، مما يمنح المشغل التحكم الكامل على المؤسسة.
ثم ربط التقرير “Ahegaoxxx” بالتعاقد مع حلقات عمال تكنولوجيا المعلومات في DPRK ، والتي كانت قد استخدمت سابقًا قنوات مستقلة للتسلل إلى مشاريع البرمجيات.
امتدت وصول الحساب إلى ما وراء الصيانة البسيطة. تشير القواعد إعادة توجيه القواعد داخل مساحة اسم بروتوكول الأمواج الرئيسية إلى حزم متطابقة داخل مساحة اسم المحفظة النشطة حديثًا ، مما يشير إلى رمز نقل من الداخل من المؤسسة الأساسية إلى مشروع المحفظة.
تغييرات رمز مشبوه
ذكر التقرير أيضًا التزامًا واحدًا داخل “Keeper-Wallet/Keeper-Wallet-Extension” يضيف سجلات محفظة تصدير دالة وأخطاء وقت التشغيل إلى قاعدة بيانات خارجية.
يلتقط الروتين المعدل عبارات ذاكري ومفاتيح خاصة قبل الإرسال ، مما يزيد من احتمال ترشيح الاعتماد. يظل الفرع غير مرغوب فيه ، لكن وجوده يشير إلى نية تضمين الكود في إصدار الإنتاج.
تعكس سجلات سجل NPM النشاط ذي الصلة. إصدارات “@Waves/Provider-keeper” ، “@Waves/Waves-Transactions” ، وأربع حزم أخرى تقدمت فجأة بعد عامين من السكون.
يسرد كل منشورات “Msmolyakov-Waves” كصيانة. يوضح تاريخ Github أن الحساب ينتمي إلى مهندس Waves السابق Maxim Smolyakov ولم يعرض أي نشاط منذ عام 2023 حتى وافق على طلب سحب من “Ahegaoxxx” وأثار إصدار NPM جديد في أقل من أربع دقائق.
قام التقرير بتقييم أن بيانات اعتماد المهندس تندرج الآن تحت سيطرة DPRK ، مما يوفر للمهاجم مسارًا موثوقًا به ثانٍ لتوزيع التصميمات الضارة.
التعرض لسلسلة التوريد والتدابير المضادة
يمثل التحول من العمل الحر المعزول إلى مراقبة المستودع المباشر ما يطلق عليه التقرير “المتقاطع غير العادي” بين عمل العقد العادي DPRK وحملة اختراق علنية.
لا تزال تعدادات التنزيل للحزم المتأثرة منخفضة ، ولكن أي مستخدم Waves يقوم بتثبيت أو يقوم بتحديث المحفوظات المحفوظة على استعداد الرمز الذي يقوم بإعادة توجيه العبارات السرية إلى خادم معادي.
نصح المنشور فرق التطوير بتشديد دفاعات سلسلة التوريد ، بما في ذلك امتيازات المساهمين في التدقيق ، وإزالة الأعضاء غير النشطين من منظمات GitHub ، وتتبع من يمكنه تشغيل الإصدارات ، ومراقبة إعادة توجيه المستودعات عبر النظم الإيكولوجية مثل NPM و Docker.
أخيرًا ، شجعت الشركة المراجعات المنتظمة لمجالات البريد الإلكتروني الناشر على اكتشاف حسابات نائمة يمكن أن توافق على التحديثات المارقة.
