La société de recherche en sécurité Ctrl-Alt-Intel a révélé qu'un groupe de hackers, soupçonné d'être lié à la Corée du Nord, a lancé des attaques contre des plateformes de staking, des fournisseurs de logiciels d'échange et des plateformes d'échange de cryptomonnaies. Les attaquants ont exploité la vulnérabilité React2Shell (CVE-2025-55182) et utilisé des identifiants AWS compromis pour infiltrer des environnements cloud. Ils ont répertorié des ressources telles que S3, EC2, RDS, EKS et ECR, extrayant des clés et des identifiants depuis Secrets Manager, des fichiers Terraform, des configurations Kubernetes et des conteneurs Docker. Les hackers auraient téléchargé cinq images Docker et volé du code source, y compris des composants logiciels liés aux clients ChainUp. L'infrastructure de l'attaque impliquait un serveur sud-coréen avec l'adresse IP 64.176.226[.]36 et le domaine itemnania[.]com. Bien que les activités correspondent aux schémas d'attaque connus de la Corée du Nord, la confiance dans l'attribution est modérée et la source des identifiants AWS reste inconnue.