北朝鮮によるWavesプロトコルのセキュリティ侵害
北朝鮮の開発者がWavesプロトコルのKeeper-Walletコードベースに対して、高いアクセス権を取得したとの報告があります。
不正な更新と影響
アカウント名「AhegaoXXX」は、2025年5月以来、休眠状態にあるコードベースに対して不正な更新を行ってきました。このアカウントは北朝鮮のITアウトソーシング組織に関連しているとされています。
コードレビューにおいて、これらの更新の一つにはウォレットログやランタイムエラーを外部データベースに送信する機能が含まれており、その結果、ニーモニックフレーズやプライベートキーが危険にさらされる可能性があることが示唆されました。
攻撃手法の変化
このブランチはまだマージされていないものの、攻撃者は元エンジニアのマキシム・スモリヤコフのアカウントを乗っ取り、古い悪意のあるNPMパッケージを6つも公開することに成功しました。
セキュリティレポートによると、この事件は北朝鮮のハッカーの戦術が、一般的なアウトソーシングを介した侵入から、コードベースの直接的な支配にシフトしたことを示唆しています。
推奨される対策
開発チームは、貢献者の権限を監査し、休眠アカウントの整理やリポジトリのリダイレクトの監視を行うことによって、サプライチェーン防御を強化することを推奨しています。
影響を受けたソフトウェアのダウンロード数は少ないものの、Keeper-Walletを更新するWavesユーザーは、資格情報漏洩のリスクにさらされている状態です。
