แฮกเกอร์เกาหลีเหนือขโมยโค้ด Waves ฝังมัลแวร์ในอัปเดตกระเป๋าเงินดิจิทัล

ตามรายงานของ Ketman เมื่อวันที่ 18 มิถุนายน นักพัฒนาชาวเกาหลีเหนือได้รับสิทธิ์ที่สูงขึ้นภายในโค้ดเบส Keeper-Wallet ของ Waves Protocol รายงานดังกล่าวเน้นถึงการสแกนกิจกรรมของสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK) บน GitHub เป็นประจำ ซึ่งค้นพบบัญชี “AhegaoXXX” ที่ทำการอัปเดต Keeper-Wallet ที่เก็บข้อมูลของ Wallet ไม่มีการ commit ที่ถูกต้องหลังเดือนสิงหาคม 2023 แต่ได้รับการเพิ่ม dependencies หลายครั้งตั้งแต่เดือนพฤษภาคม 2025 การวิเคราะห์ Repository บ่งชี้ว่าผู้ใช้สามารถเปิด Branch, สร้าง Release และเผยแพร่ไปยัง Node Package Manager (NPM) registry ได้ ทำให้ผู้ดำเนินการควบคุมองค์กรได้อย่างสมบูรณ์ รายงานดังกล่าวเชื่อมโยง “AhegaoXXX” กับเครือข่ายผู้รับเหมาของคนงานด้าน IT ของ DPRK ซึ่งก่อนหน้านี้เคยใช้ช่องทางฟรีแลนซ์เพื่อแทรกซึมเข้าไปในโครงการซอฟต์แวร์ ขอบเขตการเข้าถึงของบัญชีขยายออกไปมากกว่าการบำรุงรักษาอย่างง่าย กฎการ Redirect ภายใน Namespace หลักของ Waves Protocol ตอนนี้ชี้ไปยัง Packages ที่เหมือนกันภายใน Namespace ของ Keeper-Wallet ที่เปิดใช้งานใหม่ ซึ่งบ่งชี้ว่าคนวงในได้ย้ายโค้ดจากองค์กรหลักไปยังโครงการ Wallet

การเปลี่ยนแปลงโค้ดที่น่าสงสัย

รายงานยังกล่าวถึง Commit หนึ่งรายการภายใน “Keeper-Wallet/Keeper-Wallet-Extension” ที่เพิ่มฟังก์ชันการ Export Logs Wallet และ Runtime Errors ไปยังฐานข้อมูลภายนอก Routine ที่แก้ไขแล้วจะ Capture วลี Mnemonic และ Private Keys ก่อนการส่ง ซึ่งเพิ่มความเป็นไปได้ของการ Exfiltration Credentials Branch ยังคงไม่ได้รับการ Merge แต่การมีอยู่ของมันบ่งชี้ถึงความตั้งใจที่จะรวมโค้ดไว้ใน Production Release

บันทึกของ NPM registry สะท้อนให้เห็นถึงกิจกรรมที่เกี่ยวข้อง Versions ของ “@waves/provider-keeper”, “@waves/waves-transactions” และ Packages อื่นๆ อีกสี่รายการก้าวหน้าอย่างกะทันหันหลังจาก 2 ปีที่ไม่ได้ใช้งาน แต่ละ Publication แสดงรายการ “msmolyakov-waves” เป็นผู้ดูแล GitHub history แสดงให้เห็นว่าบัญชีเป็นของ Maxim Smolyakov อดีตวิศวกรของ Waves และไม่มีกิจกรรมใดๆ ตั้งแต่ปี 2023 จนกระทั่งอนุมัติ Pull Request จาก “AhegaoXXX” และกระตุ้นให้เกิด NPM Release ใหม่ในเวลาน้อยกว่า 4 นาที รายงานประเมินว่า Credentials ของวิศวกรอยู่ในความควบคุมของ DPRK แล้ว ซึ่งทำให้ผู้โจมตีมีเส้นทางที่เชื่อถือได้เป็นครั้งที่สองในการแจกจ่าย Malicious Builds

Supply-chain exposure และมาตรการตอบโต้

การเปลี่ยนจากการทำฟรีแลนซ์แบบแยกส่วนไปเป็นการควบคุม Repository โดยตรงถือเป็นสิ่งที่รายงานเรียกว่า “การ Cross-over ที่ผิดปกติ” ระหว่างงานสัญญาจ้างทั่วไปของ DPRK และแคมเปญแฮ็กอย่างเปิดเผย จำนวนการดาวน์โหลดสำหรับ Packages ที่ได้รับผลกระทบยังคงต่ำ แต่ผู้ใช้ Waves ที่ติดตั้งหรืออัปเดต Keeper-Wallet มีความเสี่ยงที่จะนำเข้าโค้ดที่ส่งต่อวลี Secret ไปยัง Hostile Server

Publication แนะนำให้ทีมพัฒนาเพิ่มความเข้มงวดในการป้องกัน Supply-chain รวมถึงการตรวจสอบสิทธิ์ของผู้มีส่วนร่วม การลบสมาชิกที่ไม่ได้ใช้งานออกจาก GitHub organizations การติดตามผู้ที่สามารถกระตุ้น Package Releases และการตรวจสอบ Repository Redirects ข้าม Ecosystems เช่น npm และ Docker สุดท้าย บริษัทได้สนับสนุนให้มีการตรวจสอบโดเมนอีเมลของผู้เผยแพร่เป็นประจำเพื่อตรวจจับบัญชีที่ไม่ได้ใช้งานซึ่งสามารถอนุมัติ Rogue Updates ได้