보안 연구 회사 Ctrl-Alt-Intel은 북한과 연관된 것으로 의심되는 해커 그룹이 스테이킹 플랫폼, 거래소 소프트웨어 제공업체 및 암호화폐 거래소를 대상으로 공격을 감행했다고 밝혔습니다. 공격자들은 React2Shell 취약점(CVE-2025-55182)을 악용하고 탈취한 AWS 자격 증명을 사용하여 클라우드 환경에 침투했습니다. 이들은 S3, EC2, RDS, EKS, ECR과 같은 자원을 열거하고, Secrets Manager, Terraform 파일, Kubernetes 구성 및 Docker 컨테이너에서 키와 자격 증명을 추출했습니다. 해커들은 다섯 개의 Docker 이미지를 다운로드하고 ChainUp 클라이언트와 관련된 소프트웨어 구성 요소를 포함한 소스 코드를 탈취한 것으로 알려졌습니다. 공격 인프라는 IP 주소 64.176.226[.]36의 한국 서버와 도메인 itemnania[.]com을 포함했습니다. 이러한 활동은 알려진 북한의 공격 패턴과 일치하지만, 공격 주체에 대한 확신은 중간 정도이며 AWS 자격 증명의 출처는 여전히 불분명합니다.