BlockBeats tin tức, ngày 9 tháng 3, tổ chức nghiên cứu bảo mật Ctrl-Alt-Intel tiết lộ, một nhóm tin tặc nghi liên quan đến Triều Tiên đã tấn công các nền tảng staking, nhà cung cấp phần mềm trao đổi và các sàn giao dịch tiền điện tử. Những kẻ tấn công khai thác lỗ hổng React2Shell (CVE-2025-55182) và các chứng chỉ truy cập AWS đã lấy được để xâm nhập vào môi trường đám mây, quét các tài nguyên như S3, EC2, RDS, EKS, ECR, đồng thời trích xuất khóa và chứng chỉ từ Secrets Manager, tệp Terraform, cấu hình Kubernetes và container Docker.
Các nhà nghiên cứu cho biết, kẻ tấn công đã tải xuống 5 hình ảnh Docker và đánh cắp mã nguồn, bao gồm các thành phần phần mềm liên quan đến khách hàng của ChainUp. Cơ sở hạ tầng tấn công liên quan đến máy chủ Hàn Quốc 64.176.226[.]36 và tên miền itemnania[.]com. Báo cáo cho rằng hoạt động này có đặc điểm phù hợp với các cuộc tấn công liên quan đến Triều Tiên, nhưng mức độ tin cậy trong việc xác định nguồn gốc ở mức trung bình, và nguồn gốc của các thông tin xác thực AWS chưa được làm rõ.