Agência de segurança: suposto grupo de hackers norte-coreanos coopera em ataques a empresas de criptomoedas para roubar chaves e ativos em nuvem

De acordo com a BlockBeats, em 9 de março, a empresa de pesquisa em segurança Ctrl-Alt-Intel revelou que um grupo de hackers supostamente ligado à Coreia do Norte realizou ataques contra plataformas de staking, fornecedores de software para exchanges e exchanges de criptomoedas. Os atacantes exploraram a vulnerabilidade React2Shell (CVE-2025-55182) e credenciais de acesso AWS já obtidas para invadir ambientes em nuvem, enumerar recursos como S3, EC2, RDS, EKS e ECR, além de extrair chaves e credenciais do Secrets Manager, arquivos Terraform, configurações do Kubernetes e containers Docker.

Segundo os pesquisadores, os atacantes fizeram o download de 5 imagens Docker e roubaram códigos-fonte, incluindo componentes de software relacionados a clientes da ChainUp. A infraestrutura do ataque envolveu um servidor localizado na Coreia do Sul (64.176.226[.]36) e o domínio itemnania[.]com. O relatório afirma que a atividade apresenta características consistentes com ataques ligados à Coreia do Norte, mas a confiança na atribuição é moderada e a origem das credenciais AWS não foi esclarecida.