Agencja bezpieczeństwa: Podejrzana północnokoreańska grupa hakerska współpracuje przy atakach na firmy kryptowalutowe, kradnąc klucze i zasoby w chmurze

BlockBeats donosi, że 9 marca instytut badawczy ds. bezpieczeństwa Ctrl-Alt-Intel ujawnił, iż grupa hakerów podejrzewanych o powiązania z Koreą Północną przeprowadziła ataki na platformy stakingowe, dostawców oprogramowania giełdowego oraz giełdy kryptowalut. Atakujący wykorzystali lukę React2Shell (CVE-2025-55182) oraz zdobyte już dane dostępowe AWS, aby włamać się do środowisk chmurowych, wylistować zasoby takie jak S3, EC2, RDS, EKS, ECR, a także wyciągnąć klucze i dane uwierzytelniające z Secrets Managera, plików Terraform, konfiguracji Kubernetes oraz kontenerów Docker.

Badacze twierdzą, że atakujący pobrali 5 obrazów Docker i wykradli kod źródłowy, w tym komponenty oprogramowania powiązane z klientami ChainUp. Infrastruktura ataku obejmowała serwer w Korei Południowej 64.176.226[.]36 oraz domenę itemnania[.]com. W raporcie stwierdzono, że aktywność ta wykazuje cechy charakterystyczne dla ataków powiązanych z Koreą Północną, jednak poziom pewności przypisania jest średni, a źródło danych AWS nie zostało jednoznacznie określone.