1/ Vários projetos ligados ao criador de Pepe, Matt Furie e ChainSaw e outro projeto Favrr, foram explorados na semana passada, o que resultou em ~$1M roubados A minha análise associa ambos os ataques ao mesmo grupo de trabalhadores informáticos da RPDC que provavelmente foram contratados acidentalmente como programadores.

2/ No dia 18 de junho de 2025, às 4:25 am UTC, a propriedade de ‘Replicandy’ de Matt Furie & ChainSaw foi transferida para um novo EOA 0x9Fca. 18 de junho de 2025 6:20 pm UTC: 0x9Fca retirou os lucros da mintagem do contrato 19 de junho de 2025 5:11 am UTC: 0x9Fca reativa a mintagem O atacante então mintou NFTs e vendeu em lances, fazendo com que o preço mínimo caísse para zero.

3/ No dia 23 de junho de 2025, o atacante transferiu a propriedade do implantador ChainSaw para 0x9Fca para Peplicator, Hedz, Zogz. De forma semelhante, o atacante cunhou NFTs e os vendeu em lances, fazendo com que o preço mínimo caísse para zero. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ No total, estimo que mais de $310K dos seus projetos foi roubado e transferido principalmente entre os três endereços abaixo. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ O atacante transferiu 2,05 ETH para a exchange 1 no dia 18 de junho às 19:47 UTC. Ao realizar uma análise de tempo, consegui localizar a transação de destino onde 5007,91 USDT foi recebido e transferido para a MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ Rastreando a partir do endereço de depósito MEXC 0xf87 revelou muitos outros depósitos de stablecoins recebidos a cada mês variando de $2K a $10K para vários projetos. Como essas equipes foram úteis ao fornecer informações e os ITWs da RPDC foram removidos, não irei nomear o projeto.

7/ Duas contas do GitHub usadas por suspeitos de ITWs da RPDC neste cluster podem ser vistas abaixo e as carteiras listadas em suas contas. ITW da RPDC 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 ITW da RPDC 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Outros indicadores revelados a partir de registos internos apontam para irregularidades no currículo de um suposto trabalhador de TI da RPDC. Por que um desenvolvedor que afirma viver nos EUA teria uma configuração de idioma coreano, uso de VPN Astral e estaria num fuso horário da Ásia/Rússia?

9/ Rastreando a partir do depósito MEXC 0xf87f levou a outra consolidação diferente do ITW DPRK: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Consolidação do ITW da RPDC 0x477 recebeu a folha de pagamento do projeto Favrr, que foi explorado por mais de $680K em 25 de junho de 2025. Suspeito que eles tenham um segundo ITW na folha de pagamento também, porque o endereço do explorador está ligado a um endereço de depósito da Gate 0xab7, que o ITW 2 enviou a folha de pagamento. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ Em breve, planeio publicar minhas estatísticas sobre os pagamentos totais enviados para os ITWs da RPDC em empresas/projetos para fornecer uma visão de como a situação é grave. É deprimente quantas equipes contratam trabalhadores de TI da RPDC quando uma diligência básica provavelmente teria evitado isso. A falta de comunicação de Matt Furie e ChainSaw desde que o incidente ocorreu tem sido decepcionante, com o único aviso à comunidade deletado sem explicação. Os fundos roubados do incidente ChainSaw permanecem em sua maioria dormentes. Os fundos roubados do Favrr foram transferidos para o Gate e alguns serviços aninhados. Não consegui entrar em contato com as equipes devido a DMs desativadas e sem uma maneira fácil de contatá-los no Telegram ou Discord.