BlockBeats : Le 9 mars, l'organisme de recherche en sécurité Ctrl-Alt-Intel a révélé qu'un groupe de hackers soupçonné d'être lié à la Corée du Nord a mené des attaques contre des plateformes de staking, des fournisseurs de logiciels d'échanges et des bourses de cryptomonnaies. Les attaquants ont exploité la vulnérabilité React2Shell (CVE-2025-55182) ainsi que des identifiants AWS déjà compromis pour pénétrer des environnements cloud, énumérer des ressources telles que S3, EC2, RDS, EKS et ECR, et extraire des clés et des identifiants à partir de Secrets Manager, de fichiers Terraform, de configurations Kubernetes et de conteneurs Docker.
Les chercheurs ont indiqué que les attaquants ont téléchargé cinq images Docker et volé le code source, incluant des composants logiciels liés aux clients de ChainUp. L'infrastructure d'attaque implique un serveur coréen 64.176.226[.]36 et le domaine itemnania[.]com. Le rapport indique que cette activité présente des caractéristiques cohérentes avec des attaques liées à la Corée du Nord, mais le niveau de confiance dans l'attribution est modéré, et la source des identifiants AWS n'est pas claire.