Acceso no autorizado a Keeper-Wallet
Un desarrollador norcoreano ha logrado obtener acceso elevado a la base de código de Keeper-Wallet, parte del Waves Protocol. La cuenta, identificada como ‘AhegaoXXX’, ha estado realizando actualizaciones en una base de código inactiva desde mayo de 2025. Esta cuenta está asociada con una organización norcoreana de externalización de TI.
Compromiso de la seguridad del código
Una revisión del código reveló que una de las actualizaciones incluía una característica que podría enviar registros de billetera y errores de ejecución a una base de datos externa, comprometiendo así las frases mnemotécnicas y las claves privadas de los usuarios. A pesar de que esta rama no ha sido fusionada, el atacante logró publicar seis paquetes maliciosos obsoletos de NPM al haber tomado control de la cuenta del exingeniero Maxim Smolyakov.
Modificación en las tácticas de ataque
Los informes de seguridad indican que este incidente marca un cambio en las tácticas de los hackers norcoreanos, quienes han pasado de la infiltración ordinaria en la externalización a un control directo de las bases de código. Se recomienda a los equipos de desarrollo que mejoren las defensas de la cadena de suministro, incluyendo la auditoría de permisos de los colaboradores, la eliminación de cuentas inactivas y el monitoreo de redirecciones de repositorios.
Riesgos para los usuarios de Waves
A pesar de que el número de descargas de software afectadas sigue siendo bajo, los usuarios de Waves que actualizan Keeper-Wallet enfrentan el riesgo de filtraciones de sus credenciales.
