Un desarrollador norcoreano ha adquirido altos privilegios Informe del 18 de junio por Ketman.
El informe destacó los análisis de rutina para la actividad de la República Popular Democrática (RPDC) en Github, que descubrió la cuenta “Ahegaoxxx” que empujaba las actualizaciones al portero.
Los puntos de referencia de la cartera no mostraron un compromiso legítimo después de agosto de 2023, pero recibieron varios baches de dependencia a partir de mayo de 2025.
El análisis del punto de referencia indicó que el usuario puede abrir ramas, crear versiones y publicar en el registro de Nods Packages Manager (NPM), lo que le da al operador un control completo sobre la organización.
Luego, el informe vinculó “Ahegaxx” con RDC Calcule Contruments RIRS, que anteriormente habían usado canales independientes para infiltrarse en proyectos de software.
El alcance de la cuenta se ha extendido más allá del simple mantenimiento. Redirección Las reglas dentro del espacio de nombre del protocolo de ondas principales ahora apuntan a paquetes idénticos dentro del espacio de nombre de portero recientemente activo, lo que sugiere un código iniciado de la organización principal al proyecto de billetera.
Cambios del código de sospechoso
El informe también mencionó un compromiso dentro de la “Extensión de la pared del portero y el portero” que agrega una función de exportación de los periódicos de la cartera y los errores de ejecución a una base de datos externa.
La rutina modificada captura frases mnemónicas y claves privadas antes de la transmisión, aumentando la probabilidad de exfiltración de diplomas. La rama permanece sin usar, pero su presencia indica la intención de incluir el código en una versión de producción.
Los registros de registro NPM reflejan la actividad relacionada. Las versiones de “@@ waves / proveedor-keeper”, “@ waves / waves-transacciones”, y otros cuatro paquetes han progresado repentinamente después de dos años de latencia.
Cada publicación enumera “Msmolyakov Waves” como gerente. La historia de Github muestra que la cuenta pertenecía al ex ingeniero de ondas Maxim Smolyakov y no ha mostrado ninguna actividad desde 2023 hasta que aprobó una solicitud de tracción de “Ahegaoxxx” y activó una nueva versión de NPM en menos de cuatro minutos.
El informe evaluó que la información de identificación del ingeniero ahora está bajo el control del RPDC, proporcionando al atacante una segunda química de confianza para distribuir construcciones maliciosas.
Exposición a cadenas de suministro y contramedidas
La transición de Freelance aislada al control directo del punto de referencia indica lo que el informe llamó un “cruce inusual” entre el contrato de DPRC ordinario y una campaña de piratería manifiesta.
El recuento de descargas para paquetes afectados sigue siendo bajo, pero cualquier usuario de onda que instale o actualice los riesgos de importación de la raíz del código que transmite oraciones secretas a un servidor hostil.
La publicación ha aconsejado a los equipos de desarrollo que fortalezcan las defensas de la cadena de suministro, en particular los privilegios de los contribuyentes de auditoría, la abolición de los miembros inactivos de las organizaciones de GitHub, el seguimiento que puede desencadenar versiones de paquetes y monitorear la redirección del apositorio a través de ecosistemas como NPM y Docker.
Finalmente, la compañía ha alentado a las revistas regulares de los dominios de correo electrónico de los editores a detectar cuentas latentes que podrían aprobar las actualizaciones de Royeou.