Diversi progetti legati al creatore di Pepe Matt Furie & ChainSaw, così come un altro progetto Favrr sono stati sfruttati la scorsa settimana, il che ha portato al furto di ~ $ 1 milione La mia analisi collega entrambi gli attacchi allo stesso cluster di lavoratori IT della RPDC che probabilmente sono stati accidentalmente assunti come sviluppatori.

2/ Il 18 giugno 2025 alle 4:25 UTC la proprietà di ‘Replicandy’ da Matt Furie & ChainSaw è stata trasferita a un nuovo EOA 0x9Fca. 18 giugno 2025 18:20 UTC: 0x9Fca ha ritirato i proventi della mint dal contratto. 19 giugno 2025 5:11 UTC: 0x9Fca riattiva la mint. L'attaccante ha quindi mintato NFT e venduto in offerte, causando il crollo del prezzo minimo a zero.

3/ Il 23 giugno 2025, l'attaccante ha trasferito la proprietà dal deployer di ChainSaw a 0x9Fca per Peplicator, Hedz, Zogz. Allo stesso modo, l'attaccante ha coniato NFT e li ha venduti in offerte, causando il prezzo minimo a scendere a zero. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ In totale stimo che oltre $310K dai loro progetti sia stato rubato e trasferito principalmente tra i tre indirizzi qui sotto. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ L'attaccante ha trasferito 2,05 ETH all'exchange 1 il 18 giugno alle 19:47 UTC. Eseguendo un'analisi temporale, sono riuscito a localizzare la transazione di destinazione in cui sono stati ricevuti 5007,91 USDT e trasferiti a MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ Risalendo all'indirizzo di deposito MEXC 0xf87 sono stati rivelati molti altri depositi di stablecoin ricevuti ogni mese, che vanno da $2K a $10K per vari progetti. Poiché quei team sono stati utili nel fornire informazioni e i DPRK ITW sono stati rimossi, non nominerò il progetto.

7/ Due account GitHub utilizzati da presunti ITW della DPRK in questo cluster possono essere visti di seguito e i portafogli elencati sul loro account. ITW DPRK 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 ITW DPRK 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Altri indicatori rivelati dai registri interni evidenziano irregolarità nel curriculum di un presunto lavoratore IT della DPRK. Perché un sviluppatore che afferma di vivere negli Stati Uniti avrebbe un'impostazione della lingua coreana, utilizzo di Astral VPN e un fuso orario Asia/Russia?

9/ Risalendo dal deposito MEXC 0xf87f si arriva a un'altra diversa consolidazione DPRK ITW: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Consolidamento ITW DPRK 0x477 ha ricevuto il pagamento dal progetto Favrr, che è stato sfruttato per oltre $680K il 25 giugno 2025. Sospetto che abbiano anche un secondo ITW in busta paga, poiché l'indirizzo dell'exploiter è legato a un indirizzo di deposito di Gate 0xab7, al quale l'ITW 2 ha inviato il pagamento. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ Presto ho intenzione di pubblicare le mie statistiche sui pagamenti totali inviati ai lavoratori IT della DPRK presso aziende/progetti per fornire un'idea di quanto sia grave la situazione. È deprimente quante squadre assumano lavoratori IT della DPRK quando una semplice due diligence avrebbe probabilmente potuto prevenirlo. La mancanza di comunicazione da parte di Matt Furie e ChainSaw da quando è avvenuto l'incidente è stata deludente, con il loro unico avviso alla comunità cancellato senza spiegazioni. I fondi rubati dall'incidente di ChainSaw rimangono per lo più dormienti. I fondi rubati per Favrr sono stati trasferiti a Gate e a pochi servizi annidati. Non sono riuscito a mettermi in contatto con i team a causa dei DM disabilitati e della mancanza di un modo semplice per contattarli su Telegram o Discord.