Menurut PANews, seorang pengembang Korea Utara dilaporkan telah mendapatkan akses tinggi ke basis kode Keeper-Wallet dari Protokol Waves. Akun yang diidentifikasi sebagai 'AhegaoXXX' telah mendorong pembaruan ke basis kode yang tidak aktif sejak Mei 2025. Akun ini terkait dengan organisasi outsourcing TI Korea Utara. Sebuah tinjauan kode mengungkapkan bahwa salah satu pembaruan termasuk fitur yang dapat mengirim log dompet dan kesalahan runtime ke basis data eksternal, yang berpotensi mengkompromikan frasa mnemonik dan kunci pribadi. Meskipun cabang ini belum digabungkan, penyerang berhasil menerbitkan enam paket NPM berbahaya usang dengan mengendalikan akun mantan insinyur Waves, Maxim Smolyakov.
Laporan keamanan menunjukkan bahwa insiden ini menandai pergeseran dalam taktik peretas Korea Utara dari infiltrasi outsourcing biasa ke kontrol langsung atas basis kode. Disarankan agar tim pengembangan meningkatkan pertahanan rantai pasokan, termasuk mengaudit izin kontributor, membersihkan akun yang tidak aktif, dan memantau pengalihan repositori. Meskipun jumlah unduhan perangkat lunak yang terpengaruh tetap rendah, pengguna Waves yang memperbarui Keeper-Wallet menghadapi risiko kebocoran kredensial.