1/ Несколько проектов, связанных с создателем Pepe Мэттом Фьюри и ChainSaw, а также еще один проект Favrr были использованы на прошлой неделе, что привело к краже ~$1 млн. Мой анализ связывает обе атаки с одним и тем же кластером IT-работников КНДР, которые, вероятно, были случайно наняты в качестве разработчиков.

2/ 18 июня 2025 года в 4:25 утра по UTC право собственности на ‘Replicandy’ от Мэтта Фурие и ChainSaw было передано новому EOA 0x9Fca. 18 июня 2025 года 18:20 по UTC: 0x9Fca вывел средства от чеканки из контракта 19 июня 2025 года 5:11 утра по UTC: 0x9Fca возобновил чеканку Злоумышленник затем чеканил NFT и продавал их по ставкам, что привело к падению минимальной цены до нуля.

3/ 23 июня 2025 года злоумышленник передал право собственности от развертывателя ChainSaw к 0x9Fca для Peplicator, Hedz, Zogz. Аналогично, злоумышленник создал NFT и продал их на аукционах, что привело к падению минимальной цены до нуля. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ В общей сложности я оцениваю, что было украдено более $310K из их проектов, и средства были в основном переведены между тремя адресами ниже. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ Нападающий перевел 2.05 ETH на биржу 1 18 июня в 19:47 UTC. Проведя анализ времени, я смог найти целевую транзакцию, где было получено 5007.91 USDT и переведено на MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ Прослеживание от адреса депозита MEXC 0xf87 показало множество других депозитов стейблкоинов, получаемых каждый месяц, в диапазоне от 2K до 10K долларов для различных проектов. Поскольку эти команды были полезны в предоставлении информации, а ИТ-работники КНДР были удалены, я не буду называть проект.

7/ Ниже представлены два аккаунта GitHub, используемые подозреваемыми ITW из КНДР в этом кластере, а также указанные кошельки на их аккаунтах. ITW КНДР 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 ITW КНДР 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Другие индикаторы, выявленные из внутренних журналов, указывают на несоответствия в резюме подозреваемого IT-работника КНДР. Почему разработчик, который утверждает, что живет в США, имеет настройки языка корейского, использует Astral VPN и находится в часовом поясе Азия/Россия?

9/ Прослеживание от депозита MEXC 0xf87f привело к другой консолидации DPRK ITW: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Консолидация ITW КНДР 0x477 получила зарплату от проекта Favrr, который был использован для получения более $680K 25 июня 2025 года. Я подозреваю, что у них также есть второй ITW на зарплате, потому что адрес злоумышленника связан с адресом депозита Gate 0xab7, на который ITW 2 отправил зарплату. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ Вскоре я планирую опубликовать свои статистические данные о общих платежах, отправляемых ИТ-работникам КНДР в компаниях/проектах, чтобы дать представление о том, насколько это плохо. Ужасно, сколько команд нанимают ИТ-работников из КНДР, когда базовая должная осмотрительность, вероятно, могла бы этого предотвратить. Отсутствие коммуникации от Мэтта Фури и ChainSaw с момента инцидента разочаровывает, их единственное предупреждение для сообщества было удалено без объяснения причин. Украденные средства из инцидента с ChainSaw в основном остаются бездействующими. Украденные средства для Favrr были переведены на Gate и несколько вложенных сервисов. Мне не удалось связаться с командами из-за отключенных личных сообщений и отсутствия простого способа связаться с ними в Telegram или Discord.