Accès non autorisé à Keeper-Wallet
Un développeur nord-coréen aurait obtenu un accès non autorisé à la base de code de Keeper-Wallet, une application du protocole Waves. Le compte, identifié sous le pseudonyme AhegaoXXX, publie des mises à jour sur une base de code qui était inactif depuis mai 2025. Ce compte est lié à une organisation d’externalisation informatique nord-coréenne.
Violation de sécurité
Une revue de code a révélé qu’une des mises à jour incluait une fonctionnalité permettant d’envoyer des journaux de portefeuille et des erreurs d’exécution à une base de données externe, compromettant potentiellement les phrases mnémotechniques et les clés privées des utilisateurs.
Bien que cette branche de code n’ait pas été fusionnée, l’attaquant a réussi à publier six anciens packages malveillants sur NPM en prenant le contrôle du compte d’un ancien ingénieur, Maxim Smolyakov. Les rapports de sécurité indiquent que cet incident marque une évolution dans les tactiques des hackers nord-coréens, qui passent d’une infiltration via des méthodes d’externalisation classiques à un contrôle direct des bases de code.
Recommandations de sécurité
Il est recommandé aux équipes de développement de renforcer les défenses de la chaîne d’approvisionnement, notamment par :
- l’audit des permissions des contributeurs,
- la suppression des comptes inactifs,
- la surveillance des redirections de dépôts.
Bien que le nombre de téléchargements des logiciels affectés demeure faible, les utilisateurs de Waves qui mettent à jour Keeper-Wallet pourraient être exposés à des risques de fuites d’informations sensibles.
