Безпекова організація: підозрюється, що північнокорейська хакерська група здійснює координацію атак на криптовалютні компанії з метою викрадення ключів та хмарних активів

BlockBeats повідомляє, що 9 березня дослідницька організація з безпеки Ctrl-Alt-Intel розкрила, що група хакерів, ймовірно пов’язаних з Північною Кореєю, здійснила атаки на платформи стейкінгу, постачальників програмного забезпечення для бірж та криптовалютні біржі. Зловмисники використали вразливість React2Shell (CVE-2025-55182) та вже отримані AWS облікові дані для проникнення в хмарне середовище, здійснили перелік ресурсів S3, EC2, RDS, EKS, ECR, а також витягнули ключі та облікові дані з Secrets Manager, файлів Terraform, конфігурацій Kubernetes та контейнерів Docker.

Дослідники повідомили, що зловмисники завантажили 5 Docker-образів та викрали вихідний код, серед якого були програмні компоненти, пов’язані з клієнтами ChainUp. Інфраструктура атаки включала сервер у Південній Кореї 64.176.226[.]36 та домен itemnania[.]com. У звіті зазначено, що ця активність відповідає характерним ознакам атак, пов’язаних з Північною Кореєю, але рівень впевненості у цьому середній, а джерело AWS облікових даних не визначено.