A empresa de pesquisa em segurança Ctrl-Alt-Intel divulgou que um grupo de hackers, suspeito de estar ligado à Coreia do Norte, lançou ataques contra plataformas de staking, provedores de software de troca e exchanges de criptomoedas. Os atacantes exploraram a vulnerabilidade React2Shell (CVE-2025-55182) e usaram credenciais AWS comprometidas para infiltrar ambientes em nuvem. Eles enumeraram recursos como S3, EC2, RDS, EKS e ECR, extraindo chaves e credenciais do Secrets Manager, arquivos Terraform, configurações do Kubernetes e contêineres Docker. Os hackers teriam baixado cinco imagens Docker e roubado código-fonte, incluindo componentes de software relacionados aos clientes ChainUp. A infraestrutura do ataque envolveu um servidor sul-coreano com o endereço IP 64.176.226[.]36 e o domínio itemnania[.]com. Embora as atividades estejam alinhadas com padrões conhecidos de ataques da Coreia do Norte, a confiança na atribuição é moderada, e a origem das credenciais AWS permanece desconhecida.