セキュリティ調査会社Ctrl-Alt-Intelは、北朝鮮と関連が疑われるハッカーグループが、ステーキングプラットフォーム、取引所ソフトウェアプロバイダー、暗号通貨取引所に対して攻撃を仕掛けたことを明らかにしました。攻撃者はReact2Shellの脆弱性(CVE-2025-55182)を悪用し、侵害されたAWSの認証情報を使用してクラウド環境に侵入しました。彼らはS3、EC2、RDS、EKS、ECRなどのリソースを列挙し、Secrets Manager、Terraformファイル、Kubernetes構成、Dockerコンテナからキーや認証情報を抽出しました。 ハッカーは報告によると5つのDockerイメージをダウンロードし、ChainUpクライアントに関連するソフトウェアコンポーネントを含むソースコードを盗みました。攻撃インフラは、IPアドレス64.176.226[.]36の韓国のサーバーとドメインitemnania[.]comを含んでいました。これらの活動は既知の北朝鮮の攻撃パターンと一致しますが、帰属の確信度は中程度であり、AWS認証情報の出所は不明のままです。