1. Кілька проектів, пов'язаних з творцем Pepe Меттом Ф'юрі та ChainSaw, а також ще один проект Favrr, були використані минулого тижня, що призвело до крадіжки ~1 мільйона доларів Мій аналіз пов'язує обидві атаки з одним і тим же кластером IT-працівників КНДР, яких, ймовірно, випадково найняли як розробників.

2/ 18 червня 2025 року о 4:25 ранку UTC право власності на «Replicandy» від Matt Furie & ChainSaw було передано новому EOA 0x9Fca. Червень 18, 2025 18:20 UTC: 0x9Fca відкликали доходи монетного двору від контракту Червень 19, 2025 5:11 ранку UTC: 0x9Fca відпускає м'яту Потім зловмисник карбував NFT і продавав їх на торги, внаслідок чого мінімальна ціна падала до нуля.

3/ 23 червня 2025 року зловмисник передав право власності від розгортача ChainSaw до 0x9Fca для Peplicator, Hedz, Zogz. Подібним чином зловмисник карбував NFT і продавав їх на торги, внаслідок чого мінімальна ціна падала до нуля. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4. Загалом, за моїми оцінками, $310K+ з їхніх проєктів було вкрадено та переказано переважно між трьома адресами нижче. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5. Зловмисник переказав 2,05 ETH на обмін 1 18 червня о 19:47 UTC. Провівши аналіз часу, я зміг знайти транзакцію призначення, де було отримано 5007,91 USDT і переведено в MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6. Відстеження адреси депозиту MEXC 0xf87 виявило багато інших депозитів у стейблкоїнах, які отримувалися щомісяця в діапазоні від 2 до 10 тисяч доларів США для різних проєктів. Оскільки ці команди допомогли надати інформацію, а ITW КНДР були видалені, тому я не буду називати проект.

7. Два облікові записи GitHub, які використовуються підозрюваними ITW КНДР у цьому кластері, можна побачити нижче, а гаманці вказані на їхньому рахунку. КНДР ITW 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 КНДР ITW 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Інші показники, виявлені з внутрішніх журналів, вказують на порушення у резюме IT-працівників КНДР. Чому розробник, який стверджує, що живе в США, має налаштування корейської мови, використання Astral VPN і часовий пояс Азія/Росія?

9. Відстеження від депозиту MEXC 0xf87f призвести до ще однієї іншої консолідації ITW КНДР: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Консолідація КНДР 0x477 отримала заробітну плату від проєкту Favrr, який 25 червня 2025 року було використано на $680K+ Я підозрюю, що у них є другий ITW і на зарплату, тому що адреса експлуататора прив'язана до адреси депозиту Gate, 0xab7 якій ITW 2 відправив платіжну відомість. Фавр ІТВ 1 0x17087f92d16049e9097413b4964663b754c1e43d Фавр ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

Незабаром я планую опублікувати свою статистику про загальну суму платежів, які були відправлені на ITW КНДР у компаніях/проектах, щоб дати уявлення про те, наскільки все погано. Пригнічує те, скільки команд наймають IT-працівників КНДР, коли базова комплексна перевірка, швидше за все, завадила б цьому. Відсутність зв'язку з Matt Furie & ChainSaw з моменту інциденту розчарувала, а їхнє єдине попередження для спільноти було видалено без пояснення причин. Вкрадені кошти від інциденту з ChainSaw здебільшого залишаються неактивними. Вкрадені кошти для Фаврра були переведені на Gate та кілька вкладених сервісів. Я не зміг зв'язатися з командами через вимкнені DM і відсутність можливості легко зв'язатися з ними в Telegram або Discord.