BlockBeats informa que el 9 de marzo, la institución de investigación de seguridad Ctrl-Alt-Intel reveló que un grupo de hackers sospechosamente vinculado a Corea del Norte llevó a cabo ataques contra plataformas de staking, proveedores de software de intercambios y intercambios de criptomonedas. Los atacantes aprovecharon la vulnerabilidad React2Shell (CVE-2025-55182) y credenciales de acceso a AWS ya comprometidas para invadir entornos en la nube, enumerar recursos como S3, EC2, RDS, EKS y ECR, y extraer claves y credenciales desde Secrets Manager, archivos Terraform, configuraciones de Kubernetes y contenedores Docker.
Los investigadores indican que los atacantes descargaron cinco imágenes de Docker y robaron el código fuente, que incluía componentes de software relacionados con clientes de ChainUp. La infraestructura de ataque involucra el servidor surcoreano 64.176.226[.]36 y el dominio itemnania[.]com. El informe señala que la actividad coincide con características típicas de ataques relacionados con Corea del Norte, pero el nivel de confianza en la atribución es moderado, y el origen de las credenciales de AWS no está claro.