Công ty nghiên cứu an ninh Ctrl-Alt-Intel đã tiết lộ rằng một nhóm hacker, nghi ngờ có liên quan đến Bắc Triều Tiên, đã tiến hành các cuộc tấn công vào các nền tảng staking, nhà cung cấp phần mềm sàn giao dịch và các sàn giao dịch tiền điện tử. Những kẻ tấn công đã khai thác lỗ hổng React2Shell (CVE-2025-55182) và sử dụng thông tin đăng nhập AWS bị xâm phạm để xâm nhập vào các môi trường đám mây. Họ đã liệt kê các tài nguyên như S3, EC2, RDS, EKS và ECR, trích xuất các khóa và thông tin đăng nhập từ Secrets Manager, các tệp Terraform, cấu hình Kubernetes và các container Docker. Các hacker được cho là đã tải xuống năm hình ảnh Docker và đánh cắp mã nguồn, bao gồm các thành phần phần mềm liên quan đến khách hàng ChainUp. Cơ sở hạ tầng tấn công liên quan đến một máy chủ tại Hàn Quốc với địa chỉ IP 64.176.226[.]36 và tên miền itemnania[.]com. Mặc dù các hoạt động này phù hợp với các mô hình tấn công đã biết của Bắc Triều Tiên, nhưng độ tin cậy trong việc xác định nguồn gốc là vừa phải và nguồn gốc của thông tin đăng nhập AWS vẫn chưa rõ ràng.