Draineurs Solana, Ethereum et NFT de wl-now[.]com. Utilise un faux unpkg pour servir des draineurs js et des webhooks Discord pour des alertes en temps réel. Montre une relation avec presaless[.]com et le kit de draineur de cryptokens[.]sellix[.]io (anciennement tokens404[.]com).
Il est probable qu'il s'agisse d'un ou de plusieurs acteurs chinois de la menace en raison de multiples indices :
- La configuration du portefeuille du destinataire n'a pas été modifiée et indique 钱包, qui se traduit par "portefeuille"
- Le webhook Discord a reçu un nom d'utilisateur "houmen", ce qui signifie "porte dérobée". L'avatar représente une écolière chinoise (cdn.discordapp.com/avatars/979351082012659755/b791e87ac09e0fcd70bef0721b074513.png -> facebook.com/JK照片-100190912056316/photos/pcb.100195085389232/100195032055904/).
- Les draineurs ont été hébergés sur un serveur de HK/Chine (Cloudie Limited [AS55933] 103.105.23[.]18).
- Le faux domaine unpkg affiche une page par défaut en chinois