Исследовательская компания по безопасности Ctrl-Alt-Intel сообщила, что группа хакеров, предположительно связанная с Северной Кореей, осуществила атаки на платформы для стейкинга, поставщиков программного обеспечения для бирж и криптовалютные биржи. Злоумышленники использовали уязвимость React2Shell (CVE-2025-55182) и скомпрометированные учетные данные AWS для проникновения в облачные среды. Они перечислили ресурсы, такие как S3, EC2, RDS, EKS и ECR, извлекая ключи и учетные данные из Secrets Manager, файлов Terraform, конфигураций Kubernetes и контейнеров Docker. Сообщается, что хакеры скачали пять образов Docker и украли исходный код, включая программные компоненты, связанные с клиентами ChainUp. Инфраструктура атаки включала сервер в Южной Корее с IP-адресом 64.176.226[.]36 и доменом itemnania[.]com. Хотя действия соответствуют известным схемам атак Северной Кореи, уверенность в атрибуции умеренная, а источник учетных данных AWS остается неизвестным.