Güvenlik araştırma firması Ctrl-Alt-Intel, Kuzey Kore ile bağlantılı olduğu şüphelenilen bir hacker grubunun staking platformlarına, borsa yazılım sağlayıcılarına ve kripto para borsalarına saldırılar düzenlediğini açıkladı. Saldırganlar, React2Shell güvenlik açığını (CVE-2025-55182) kullanarak ele geçirilmiş AWS kimlik bilgileriyle bulut ortamlarına sızdı. S3, EC2, RDS, EKS ve ECR gibi kaynakları listeleyip, Secrets Manager, Terraform dosyaları, Kubernetes yapılandırmaları ve Docker konteynerlerinden anahtarlar ve kimlik bilgileri çıkardılar. Hackerların beş Docker imajı indirdiği ve ChainUp istemcileriyle ilgili yazılım bileşenleri dahil olmak üzere kaynak kodu çaldığı bildirildi. Saldırı altyapısı, IP adresi 64.176.226[.]36 olan Güney Koreli bir sunucu ve itemnania[.]com alan adını içeriyordu. Faaliyetler bilinen Kuzey Kore saldırı modelleriyle uyumlu olsa da, atıf güveni orta düzeyde olup AWS kimlik bilgilerinin kaynağı belirsizliğini koruyor.