NK Ontwikkelaar Hijackt Inactieve Waves Repositories

Noord Koreaanse Invloed Ontdekt In Keeper Wallet Van Waves Protocol: Potentiële Risico’s En Tegenmaatregelen

19 juni 2025 om 08:11

Leestijd: 3 minuten

Volgens een rapport van 18 juni heeft een Noord-Koreaanse ontwikkelaar verhoogde privileges verworven binnen de codebasis van de Keeper-Wallet van het Waves Protocol. Dit rapport, samengesteld door Ketman, werpt een blik op de routine-inspecties naar activiteiten van de Democratische Volksrepubliek Korea (DPRK) op GitHub. Tijdens deze inspecties werd het account “AhegaoXXX” ontdekt, dat updates voor de Keeper-Wallet onderbracht.

De repositories van de portefeuille vertoonden geen legitieme wijzigingen na augustus 2023, maar ontvingen sinds mei 2025 verschillende updates voor afhankelijkheden. Analyses van de repositories wezen uit dat de gebruiker in staat is om branches te openen, releases te maken en te publiceren op de Node Package Manager (NPM) registry. Dit biedt de operator volledige controle over de organisatie.

Het rapport legt vervolgens een verbinding tussen “AhegaoXXX” en netwerken van DPRK IT-werknemers, die eerder freelanceplatformen gebruikten om softwareprojecten binnen te dringen. De invloed van het account strekte zich verder uit dan eenvoudige onderhoudstaken. Herschrijvingsregels binnen de hoofdnamespace van het Waves Protocol verwijzen nu naar identieke pakketten binnen de recent actieve Keeper-Wallet namespace, wat suggereert dat een insider code van de kernorganisatie naar het portefeuilleproject heeft verplaatst.

Verdachte codewijzigingen

Het rapport vermeldde ook een commit binnen “Keeper-Wallet/Keeper-Wallet-Extension” die een functie toevoegt om portefeuillelogboeken en runtime-fouten naar een externe database te exporteren. Deze gewijzigde routine vangt mnemonische zinnen en privésleutels op voordat deze worden verzonden, wat de kans op credential-exfiltratie verhoogt. Hoewel de branch nog niet samengevoegd is, wijst de aanwezigheid ervan op de intentie om de code in een productie-release op te nemen.

De NPM-registry toont gelijkaardige activiteit aan. Versies van “@waves/provider-keeper”, “@waves/waves-transactions” en vier andere pakketten versnelden plotseling na twee jaar inactiviteit. Elke publicatie vermeldt “msmolyakov-waves” als maintainer. GitHub-historie toont aan dat dit account toebehoorde aan voormalig Waves-engineer Maxim Smolyakov, die sinds 2023 geen activiteit meer vertoonde tot hij een pull request van “AhegaoXXX” goedkeurde, wat binnen vier minuten leidde tot een nieuwe NPM-release.

Het rapport concludeerde dat de bevoegdheden van de engineer nu onder controle van de DPRK vallen, wat de aanvaller een tweede vertrouwd pad biedt om kwaadaardige builds te verspreiden.

Risico’s van de toeleveringsketen en tegenmaatregelen

De verschuiving van geïsoleerd freelancen naar directe controle over repositories markeert wat het rapport beschrijft als een “ongebruikelijke crossover” tussen reguliere DPRK-contractwerk en een openlijke hackingcampagne. De downloadcijfers voor de getroffen pakketten blijven laag, maar elke Waves-gebruiker die de Keeper-Wallet installeert of bijwerkt, loopt het risico om code te importeren die geheime zinnen naar een vijandige server verzendt.

De publicatie adviseert ontwikkelteams om de defensies van de toeleveringsketen te versterken. Dit omvat het auditen van bijdragersprivileges, het verwijderen van inactieve leden uit GitHub-organisaties, het bijhouden van wie pakket-releases kan activeren en het monitoren van redirects in repositories tussen ecosystemen zoals npm en Docker.

Tot slot moedigt het bedrijf regelmatige controle van e-maildomeinen van uitgevers aan om inactieve accounts te detecteren die ongeoorloofde updates zouden kunnen goedkeuren.

Vraag & Antwoord

Wat zijn de implicaties van de DPRK-activiteit binnen de Waves Protocol gemeenschap?
De DPRK-activiteit stelt een groot risico voor de veiligheid van de gebruikers van Waves in, omdat er een gevaar bestaat dat kwaadaardige code in legitime software wordt geïntegreerd, wat kan leiden tot verlies van crypto-activa.

Hoe kunnen ontwikkelteams zich beschermen tegen dergelijke aanvallen?
Ontwikkelteams kunnen hun toeleveringsketenbeveiliging verbeteren door contributors met beperkte privileges te auditen en inactieve leden uit hun organisaties te verwijderen. Daarnaast is het essentieel om releases en redirects in de gaten te houden.

Wat moet een gebruiker doen als hij vermoedt dat zijn wallet is aangetast?
Als een gebruiker vermoedt dat zijn wallet is aangetast, moet hij onmiddellijk zijn privésleutels wijzigen en overwegen om zijn crypto-activa naar een veilige en betrouwbare portefeuille te verplaatsen.

Deel dit Artikel:

Disclaimer: de informatie op Block 9 is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden. Hoewel wij streven naar het aanbieden van actuele, correcte en relevante content, geven wij geen garanties met betrekking tot de volledigheid, juistheid of betrouwbaarheid van de verstrekte informatie. Alle inhoud op deze website, waaronder artikelen, analyses, meningen en andere publicaties, is bedoeld als algemene informatie en vormt op geen enkele wijze professioneel of juridisch advies, inclusief maar niet beperkt tot financieel, beleggings- of belastingadvies.

Block 9 geeft geen enkele garantie en doet geen enkele toezegging over mogelijke resultaten of opbrengsten die kunnen voortvloeien uit het gebruik van informatie op deze website. Niets op deze website mag worden geïnterpreteerd als een aanbeveling tot aankoop, verkoop of het aanhouden van bepaalde activa, waaronder maar niet beperkt tot cryptovaluta, tokens of andere financiële instrumenten.

De meningen en standpunten die worden geuit in bijdragen van redacteuren, externe auteurs of communityleden zijn strikt persoonlijk en vertegenwoordigen niet noodzakelijkerwijs de zienswijze of het beleid van Block 9 als platform. Block 9 aanvaardt geen enkele aansprakelijkheid voor enig verlies of schade – direct of indirect – als gevolg van het gebruik van (of het vertrouwen op) de informatie die op deze website wordt gepubliceerd.

Beleggen in cryptovaluta en andere digitale activa brengt aanzienlijke risico’s met zich mee. De waarde van dergelijke activa kan sterk fluctueren, en er bestaat een kans dat je (een deel van) je inleg verliest. Wij raden je ten zeerste aan om altijd je eigen onderzoek te doen (do your own research – DYOR) en onafhankelijk advies in te winnen van een gekwalificeerde financieel adviseur voordat je financiële beslissingen neemt. Door deze website te gebruiken, ga je akkoord met deze disclaimer en accepteer je dat Block 9 niet verantwoordelijk is voor jouw investeringskeuzes of de resultaten daarvan.