朝鲜黑客操纵Waves冷门代码库，植入盗取钱包凭证的恶意更新

随着区块链技术的蓬勃发展和数字资产的广泛应用，安全问题愈加引起行业关注。近期，Waves Protocol旗下知名数字钱包Keeper Wallet的代码库遭遇一起严重安全事件。攻击者通过掌控长期处于休眠状态的仓库权限，将窃取用户钱包凭证的恶意代码植入官方更新，暴露出区块链生态系统中供应链攻击的潜在风险。此次事件背后疑似与朝鲜（DPRK）黑客有关，其复杂程度和危害性不容小觑。Waves Protocol作为一个开放的区块链平台，兼具高性能和安全保障，是许多去中心化应用和开发者的基础设施。然而，研究者发现，相关的Keeper Wallet扩展库自2023年8月以来几乎未有合法代码变动，却在2025年5月突然活跃，出现多次依赖包升级和发布新版库文件。

这类异常活动经排查揭示，一名账号名为“AhegaoXXX”的用户，疑似朝鲜开发者，取得了该代码库的写入和发布权限。这个账号不仅能创建分支，合并代码，还能通过Node Package Manager发布更新，说明其已获得该组织的最高代码管理权限。细节上，此账号提交的恶意改动中，包含一段将钱包运行时日志和错误数据导出到外部数据库的功能。该功能不经用户允许，偷偷捕获用户的种子短语（Mnemonic phrases）和私钥(Key)，通过网络发送给不明服务器。虽然该更新分支尚未合并进主分支，但极可能随后的版本推送将包含这种窃取行为。一旦用户安装了带有该代码的新版钱包扩展，便会无形中泄露其钱包密钥，给钱包资产安全带来巨大隐患。

通过进一步关联分析，安全报告指出该账号AhegaoXXX与组织分散的朝鲜合同程序员群体有关，这些人长期利用自由职业平台进入各种软件项目，遂而渗透和操纵关键代码库。此外，调查人员还发现本次被侵入的另一个关键账号“msmolyakov-waves”，原为Waves前工程师Maxim Smolyakov持有，长期未活跃，但却在攻击者提交后快速批准了相关合并请求，并触发了NPM的代码发布。显然攻击者利用被盗账号作为可信身份，打开了第二条通路以散布恶意构建版本，加大攻击成功概率。此次事件也暴露了传统代码管理和发布机制中多项安全漏洞。首先，仓库中长时间无人维护的账号权限未及时清理，导致休眠账号被拿下后对项目根基发动攻击。其次，缺乏对发布者身份和代码变更合理性的持续审查，使得恶意代码能在不被察觉的情况下合并进主分支。

此外，监控系统对关键分支的重定向规则变化、依赖库的异常升级缺乏有效警报，进一步延迟了风险发现与应对。风控专家建议，区块链项目开发团队需强化供应链安全治理机制。定期审计所有贡献者权限、移除已失效账号、严控分支管理和版本发布权限是必要第一步。其次，应建立自动化代码审查和构建流水线，迅速识别可疑代码提交及授权异常。第三，加强对发布包的及时监测，发现异常下载量波动及新版本安全风险，及时通报用户及社区。此外，应建立完善的权限变更审批流程和多重身份验证机制，防止凭证被盗用而导致的权限滥用。

用户层面，应谨慎从官方渠道获取软件更新，避免安装非官方来源版本，尽量开启硬件钱包等安全措施保障资产安全。同时，行业监管机构和区块链安全公司需合作，构建透明的威胁情报共享机制，及时通报和响应这类供应链攻击，减少攻击面。此次朝鲜黑客利用冷门代码库权限，植入盗取资金凭证的恶意代码案，清晰展示了数字资产领域面临的全球化网络攻击复杂度。伴随着区块链与Web3生态日益深入各行业底层，提升项目治理水平和安全防御能力变得尤为迫切。只有构建起全方位、多层次的安全防护壁垒，才能守护用户权益，促进数字经济健康持续发展。对广大区块链开发者而言，这是一记警钟：无论项目多么开放和去中心化，安全永远不可妥协，要从根本上重视供应链风险，定期检查、更新和加固代码库及发布环节的安全控制。

唯有如此，才能抵御来自国家级黑客组织等高级持续威胁的侵袭，保证用户资金和隐私安然无恙。未来，随着区块链技术演进和合规监管的完善，期待行业内形成更多标准化、自动化的安全治理流程，从而提升整个生态系统的韧性和信任度。