Експерти підтвердили участь пов’язаного з КНДР розробника у проєктах Cosmos

Interchain Labs підтвердила, що між 2022 і 2024 роками один із розробників, залучених до проєктів екосистеми Cosmos, виявився пов’язаним із Північною Кореєю. 

The investigation identified the malicious actor as an engineer employed by former core-stack maintenance vendors between 2022 and 2024, prior to the formation and takeover of ICL as the core Cosmos stack developer.

This incident was contained through structural reforms. After…

— Interchain Foundation (@interchain_io) June 16, 2025

Цей учасник працював на стороннього підрядника до централізації розробки стеку. Після передачі контролю Interchain Labs його доступ було заблоковано.

Розробник діяв під псевдонімом cool-develope і мав обмежений доступ до двох репозиторіїв — cosmos/IAVL та cosmos/cosmos-sdk. Згідно з висновками спільного аудиту Interchain Labs, Security Alliance та Asymmetric Research, більшість внесків, які він здійснив, не потрапила до релізів — їх відхилили разом із скасуванням SDK v2. Активних вразливостей не виявлено.

З метою підвищення прозорості Interchain Labs тимчасово збільшила винагороди за баги на сторінці Cosmos у HackerOne, включаючи винагороди за виявлення можливих проблем, пов’язаних із кодом cool-develope.

У компанії зазначили, що інцидент стався ще до централізації розробки стеку під управлінням Interchain Labs. Після цього були впроваджені нові протоколи перевірки персоналу та доступу, що дозволило виявити зв’язок розробника з КНДР. Згодом він намагався повернутися до проєкту, але був відхилений після перевірки.

«Ми оновили всі протоколи безпеки, відкликали старі доступи, перепризначили ролі, змінили ключі й посилили контроль над внесками до репозиторіїв», — сказав співдиректор ICL Баррі Планкетт. 

Він підкреслив, що загроз безпеці не виявлено, але спільнота закликана до подальшої перевірки. Код, до якого мав доступ розробник, буде повністю переписано в новій версії IAVL v2.

Генеральний директор Asymmetric Research Джонатан Клаудіус назвав інцидент знаковим: 

«Екосистеми з відкритим кодом потребують постійної проактивної роботи над безпекою. Cosmos — не перша екосистема, яка зазнала атаки зловмисників, і не буде останньою»

У жовтні 2024 року виявилося, що частину коду для модуля ліквідного стейкінгу (LSM) створили північнокорейські програмісти. Тоді співзасновник Cosmos Дже Квон звинуватив CEO Iqlusion Закі Маніана (розробника LSM) у недбалості — той приховав інформацію про інцидент від спільноти.

Нагадаємо, згідно зі звітом Silent Push, група Contagious Interview, пов’язана з північнокорейською хакерською організацією Lazarus, зареєструвала три фіктивні компанії для розповсюдження шкідливого ПЗ. 

Источник