Organisation de sécurité : des groupes de hackers nord-coréens auraient collaboré pour attaquer des entreprises de cryptomonnaie afin de voler des clés et des actifs cloud

BlockBeats rapporte que le 9 mars, l'institut de recherche en sécurité Ctrl-Alt-Intel a révélé qu'un groupe de hackers soupçonnés d'être liés à la Corée du Nord a lancé des attaques contre des plateformes de staking, des fournisseurs de logiciels pour exchanges et des exchanges de cryptomonnaies. Les attaquants ont exploité la vulnérabilité React2Shell (CVE-2025-55182) ainsi que des identifiants d'accès AWS déjà obtenus pour infiltrer des environnements cloud, énumérer des ressources telles que S3, EC2, RDS, EKS, ECR, et extraire des clés et des identifiants depuis Secrets Manager, des fichiers Terraform, des configurations Kubernetes et des conteneurs Docker.

Selon les chercheurs, les attaquants ont téléchargé cinq images Docker et volé du code source, y compris des composants logiciels liés aux clients de ChainUp. L'infrastructure d'attaque impliquait un serveur sud-coréen 64.176.226[.]36 et le domaine itemnania[.]com. Le rapport indique que cette activité présente des caractéristiques cohérentes avec des attaques nord-coréennes, mais le niveau de confiance dans l'attribution reste moyen et la source des identifiants AWS n'est pas clairement identifiée.