BlockBeatsの情報によると、3月9日、セキュリティ研究機関Ctrl-Alt-Intelは、北朝鮮と疑われるハッカー集団がステーキングプラットフォーム、取引所ソフトウェアベンダー、および暗号通貨取引所を標的とした攻撃を実施したことを公表しました。攻撃者はReact2Shell脆弱性(CVE-2025-55182)と既に取得したAWSアクセス資格情報を用いてクラウド環境に侵入し、S3、EC2、RDS、EKS、ECRなどのリソースを列挙し、Secrets Manager、Terraformファイル、Kubernetes設定、およびDockerコンテナからキーと資格情報を抽出しました。
研究者によると、攻撃者は5つのDockerイメージをダウンロードし、ChainUpの顧客関連ソフトウェアコンポーネントを含むソースコードを窃取した。攻撃インフラには、韓国のサーバー64.176.226[.]36とドメインitemnania[.]comが関与している。この活動は北朝鮮関連の攻撃特徴と一致すると報告されているが、帰属の信頼度は中程度であり、AWS資格情報の出所は明確ではない。