Instituciones de seguridad: presunta colaboración de grupos hackers norcoreanos para atacar empresas de criptomonedas y robar claves y activos en la nube

BlockBeats informó que, el 9 de marzo, la firma de investigación en seguridad Ctrl-Alt-Intel reveló que un grupo de hackers presuntamente vinculado a Corea del Norte lanzó ataques dirigidos a plataformas de staking, proveedores de software para exchanges y exchanges de criptomonedas. Los atacantes aprovecharon la vulnerabilidad React2Shell (CVE-2025-55182) y credenciales de acceso a AWS previamente obtenidas para infiltrarse en entornos en la nube, enumerar recursos como S3, EC2, RDS, EKS y ECR, y extraer claves y credenciales desde Secrets Manager, archivos de Terraform, configuraciones de Kubernetes y contenedores Docker.

Según los investigadores, los atacantes descargaron cinco imágenes de Docker y robaron código fuente, incluyendo componentes de software relacionados con clientes de ChainUp. La infraestructura utilizada en el ataque involucró un servidor en Corea del Sur con la IP 64.176.226[.]36 y el dominio itemnania[.]com. El informe indica que la actividad coincide con patrones de ataques asociados a Corea del Norte, aunque el nivel de confianza en la atribución es medio y no se ha determinado claramente el origen de las credenciales de AWS.