1/ Wiele projektów związanych z twórcą Pepe, Mattem Furie i ChainSaw, a także inny projekt Favrr zostały wykorzystane w ciągu ostatniego tygodnia, co spowodowało kradzież ~ 1 miliona dolarów Moja analiza łączy oba ataki z tą samą grupą pracowników IT KRLD, którzy prawdopodobnie zostali przypadkowo zatrudnieni jako programiści.

2/ 18 czerwca 2025 o 4:25 UTC własność ‘Replicandy’ od Matta Furie i ChainSaw została przeniesiona na nowy EOA 0x9Fca. 18 czerwca 2025 18:20 UTC: 0x9Fca wypłacił dochody z mintowania z kontraktu 19 czerwca 2025 5:11 UTC: 0x9Fca wznawia mintowanie Napastnik następnie mintował NFT i sprzedawał je w ramach ofert, co spowodowało spadek ceny minimalnej do zera.

3/ 23 czerwca 2025 roku napastnik przeniósł własność z dewelopera ChainSaw na 0x9Fca dla Peplicatora, Hedz, Zogz. Podobnie napastnik wybił NFT i sprzedał je w licytacjach, co spowodowało spadek ceny minimalnej do zera. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ Łącznie szacuję, że z ich projektów skradziono ponad 310 tys. dolarów, które zostały głównie przetransferowane między trzema poniższymi adresami. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ Napastnik przelał 2,05 ETH do giełdy 1 18 czerwca o 19:47 UTC. Przeprowadzając analizę czasową, mogłem zlokalizować transakcję docelową, w której otrzymano 5007,91 USDT i przelano do MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ Śledzenie adresu depozytowego MEXC 0xf87 ujawniło wiele innych depozytów stablecoinów otrzymywanych co miesiąc, w zakresie od 2K do 10K dolarów dla różnych projektów. Ponieważ te zespoły były pomocne w dostarczaniu informacji, a ITW z DPRK zostały usunięte, nie będę nazywać projektu.

7/ Dwa konta GitHub używane przez podejrzewanych ITW z DPRK w tym klastrze można zobaczyć poniżej, a także wymienione portfele na ich koncie. DPRK ITW 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 DPRK ITW 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Inne wskaźniki ujawnione w wewnętrznych logach wskazują na nieprawidłowości w CV podejrzewanego pracownika IT z DPRK. Dlaczego deweloper, który twierdzi, że mieszka w USA, miałby mieć ustawienia języka koreańskiego, korzystać z Astral VPN i mieć strefę czasową Azja/Rosja?

9/ Śledzenie z depozytu MEXC 0xf87f prowadzi do innej konsolidacji DPRK ITW: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Konsolidacja ITW DPRK 0x477 otrzymała wynagrodzenie z projektu Favrr, które zostało wykorzystane na kwotę ponad 680 tys. dolarów 25 czerwca 2025 roku. Podejrzewam, że mają również drugie ITW na wynagrodzeniu, ponieważ adres sprawcy jest powiązany z adresem depozytu Gate 0xab7, na który ITW 2 wysłało wynagrodzenie. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ Wkrótce planuję opublikować moje statystyki dotyczące całkowitych płatności wysyłanych do ITW z DPRK w firmach/projektach, aby pokazać, jak źle to wygląda. To przygnębiające, jak wiele zespołów zatrudnia pracowników IT z DPRK, gdy podstawowa należyta staranność prawdopodobnie by temu zapobiegła. Brak komunikacji ze strony Matta Furie i ChainSaw od momentu wystąpienia incydentu był rozczarowujący, a ich jedyne ostrzeżenie dla społeczności zostało usunięte bez wyjaśnienia. Sk stolen funds from the ChainSaw incident mostly remain dormant. Sk stolen funds for Favrr were transferred to Gate and a few nested services. Nie mogłem skontaktować się z zespołami z powodu wyłączonych DM-ów i braku łatwego sposobu na kontakt z nimi na Telegramie lub Discordzie.