Безопасностная организация: подозревается, что северокорейская хакерская группа координированно атаковала криптовалютные компании с целью кражи ключей и облачных активов.

BlockBeats сообщает, что 9 марта исследовательская организация Ctrl-Alt-Intel раскрыла информацию о том, что группа хакеров, предположительно связанная с Северной Кореей, совершила атаки на платформы стейкинга, поставщиков программного обеспечения для бирж и криптовалютные биржи. Злоумышленники использовали уязвимость React2Shell (CVE-2025-55182) и уже полученные AWS-учетные данные для проникновения в облачные среды, осуществляя перечисление ресурсов S3, EC2, RDS, EKS, ECR, а также извлекая ключи и учетные данные из Secrets Manager, файлов Terraform, конфигураций Kubernetes и контейнеров Docker.

Исследователи отмечают, что злоумышленники скачали 5 Docker-образов и похитили исходный код, включая программные компоненты, связанные с клиентами ChainUp. Инфраструктура атаки включает корейский сервер 64.176.226[.]36 и домен itemnania[.]com. В отчете говорится, что данная активность соответствует характеристикам атак, связанных с Северной Кореей, однако уровень уверенности в атрибуции средний, источник AWS-учетных данных не установлен.