1/ Useita Pepen luojaan Matt Furie & ChainSawiin liittyviä projekteja sekä toista projektia, Favrria, hyödynnettiin viime viikolla, mikä johti ~1 miljoonan dollarin varastamiseen Analyysini yhdistää molemmat hyökkäykset samaan Pohjois-Korean IT-työntekijöiden ryppään, jotka todennäköisesti palkattiin vahingossa kehittäjiksi.

2/ 18. kesäkuuta 2025 klo 4:25 UTC Matt Furie & ChainSawin "Replicandy"-omistus siirrettiin uudelle EOA-0x9Fca. kesä 18, 2025 18:20 UTC: 0x9Fca veti rahapajan tuotot sopimuksesta kesä 19, 2025 5:11 UTC: 0x9Fca keskeyttää mintun Hyökkääjä löi sitten NFT:itä ja myi tarjouksia, jolloin pohjahinta putosi nollaan.

3/ 23. kesäkuuta 2025 hyökkääjä siirsi omistusoikeuden ChainSaw-käyttöönottajalta Peplicatorin, Hedzin ja Zogzin 0x9Fca. Samoin hyökkääjä löi NFT:itä ja myi ne tarjouksiin, jolloin pohjahinta putosi nollaan. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ Arvioin, että yhteensä 310 000 dollaria+ heidän projekteistaan varastettiin ja siirrettiin pääasiassa kolmen alla olevan osoitteen välillä. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ Hyökkääjä siirsi 2,05 ETH:ta vaihtoon 1 18. kesäkuuta klo 19.47 UTC. Ajoitusanalyysin avulla pystyin paikantamaan kohdetapahtuman, jossa 5007,91 USDT vastaanotettiin ja siirrettiin MEXC:lle. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ MEXC-talletusosoitteen jäljittäminen paljasti 0xf87 monia muita kuukausittain saatuja stablecoin-talletuksia, jotka vaihtelevat 2K-10K:sta eri projekteihin. Koska nuo ryhmät olivat avuliaita tietojen antamisessa ja Pohjois-Korean ITW:t poistettiin, en nimeä projektia.

7/ Kaksi GitHub-tiliä, joita epäillyt Pohjois-Korean ITW:t käyttävät tässä klusterissa, näkyvät alla ja luetellut lompakot heidän tilillään. Pohjois-Korean ITW 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 Pohjois-Korean ITW 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Muut sisäisistä lokitiedoista paljastuneet indikaattorit viittaavat sääntöjenvastaisuuksiin epäillyssä Pohjois-Korean IT-työntekijöiden ansioluettelossa. Miksi kehittäjällä, joka väittää asuvansa Yhdysvalloissa, olisi korean kieliasetus, Astral VPN:n käyttö ja Aasian ja Venäjän aikavyöhyke?

9/ MEXC-esiintymän jäljittäminen 0xf87f johtaa toiseen eri Pohjois-Korean ITW-konsolidointiin: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Pohjois-Korean ITW-konsolidointi 0x477 sai palkkaa Favrr-hankkeesta, jota hyödynnettiin 680 000 dollarilla+ 25. kesäkuuta 2025 Epäilen, että heillä on myös toinen ITW palkanlaskennassa, koska hyväksikäyttäjän osoite on sidottu Gate-talletusosoitteeseen, johon ITW 2 lähetti palkanlaskennan, 0xab7. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ Aion pian julkaista tilastoni Pohjois-Korean ITW:ille yrityksissä/projekteissa lähetetyistä maksujen kokonaismäärästä saadakseni käsityksen siitä, kuinka huono tilanne on. On masentavaa, kuinka moni tiimi palkkaa Pohjois-Korean IT-työntekijöitä, kun perusdue diligence olisi todennäköisesti estänyt sen. Matt Furie & ChainSaw'n kommunikaation puute tapauksen jälkeen on ollut pettymys, sillä heidän ainoa varoituksensa yhteisölle on poistettu ilman selitystä. ChainSaw-tapauksesta varastetut varat ovat enimmäkseen lepotilassa. Favrrin varastetut varat siirrettiin Gatelle ja muutamalle sisäkkäiselle palvelulle. En ole saanut yhteyttä tiimeihin, koska DM:t ovat poissa käytöstä, enkä ole voinut ottaa heihin yhteyttä helposti Telegramissa tai Discordissa.