Vorfall mit Keeper Wallets im Waves Protocol
Ein nordkoreanischer Entwickler hat Berichten zufolge Zugang zum Code des Keeper Wallets im Waves Protocol erhalten. Ein Konto mit dem Namen ‚AhegaoXXX‘ hat seit Mai 2025 Aktualisierungen an einer zuvor inaktiven Codebasis vorgenommen. Dieses Konto ist mit einer nordkoreanischen IT-Outsourcing-Organisation verbunden.
Sicherheitslücke und Risiken
Eine Überprüfung des Codes ergab, dass eine der Aktualisierungen eine Funktion hinzufügte, die es ermöglichte, Wallet-Protokolle und Laufzeitfehler an eine externe Datenbank zu senden. Dadurch könnten potenziell mnemonische Phrasen und private Schlüssel gefährdet werden. Obwohl dieser Branch nicht in die Hauptentwicklung integriert wurde, gelang es dem Angreifer, sechs veraltete, bösartige NPM-Pakete zu veröffentlichen, indem er das Konto des ehemaligen Ingenieurs Maxim Smolyakov übernahm.
Sicherheitsberichte deuten darauf hin, dass dieser Vorfall einen Wandel in den Taktiken nordkoreanischer Hacker kennzeichnet, von gewöhnlicher Outsourcing-Infiltration zu direkter Kontrolle über Codebasen.
Empfohlene Maßnahmen für Entwicklungsteams
Es wird empfohlen, dass Entwicklungsteams ihre Sicherheitsmaßnahmen in der Lieferkette verstärken. Dazu gehören:
- Überprüfung der Berechtigungen von Mitwirkenden
- Bereinigung inaktiver Konten
- Überwachung von Repository-Weiterleitungen
Obwohl die Anzahl der betroffenen Software-Downloads bis jetzt gering bleibt, sehen sich Waves-Nutzer, die das Keeper Wallet aktualisieren, einem Risiko von Credential-Leaks ausgesetzt.
