Istituzioni di sicurezza: sospetti gruppi di hacker nordcoreani collaborano per attaccare aziende di criptovalute, rubando chiavi e asset cloud

BlockBeats notizie, 9 marzo, l'istituto di ricerca sulla sicurezza Ctrl-Alt-Intel ha rivelato che un gruppo di hacker presumibilmente collegati alla Corea del Nord ha lanciato attacchi contro piattaforme di staking, fornitori di software per exchange e exchange di criptovalute. Gli aggressori hanno sfruttato la vulnerabilità React2Shell (CVE-2025-55182) e credenziali AWS già ottenute per infiltrarsi negli ambienti cloud, enumerando risorse come S3, EC2, RDS, EKS, ECR e estraendo chiavi e credenziali da Secrets Manager, file Terraform, configurazioni Kubernetes e container Docker.

I ricercatori affermano che gli aggressori hanno scaricato 5 immagini Docker e rubato codice sorgente, inclusi componenti software relativi ai clienti ChainUp. L'infrastruttura di attacco coinvolge server sudcoreani 64.176.226[.]36 e il dominio itemnania[.]com. Il rapporto afferma che questa attività è coerente con le caratteristiche degli attacchi collegati alla Corea del Nord, ma il livello di fiducia nell'attribuzione è medio e la fonte delle credenziali AWS non è chiara.