Tổ chức an ninh: Nhóm hacker nghi là của Triều Tiên phối hợp tấn công các doanh nghiệp tiền mã hóa để đánh cắp khóa và tài sản trên đám mây

BlockBeats đưa tin, ngày 9 tháng 3, tổ chức nghiên cứu an ninh Ctrl-Alt-Intel tiết lộ rằng một nhóm hacker nghi ngờ có liên quan đến Triều Tiên đã tiến hành tấn công các nền tảng staking, nhà cung cấp phần mềm cho sàn giao dịch và các sàn giao dịch tiền mã hóa. Kẻ tấn công đã lợi dụng lỗ hổng React2Shell (CVE-2025-55182) và các thông tin xác thực AWS đã bị lấy cắp để xâm nhập vào môi trường đám mây, liệt kê các tài nguyên như S3, EC2, RDS, EKS, ECR, đồng thời trích xuất khóa và thông tin xác thực từ Secrets Manager, tệp Terraform, cấu hình Kubernetes và container Docker.

Các nhà nghiên cứu cho biết, kẻ tấn công đã tải xuống 5 hình ảnh Docker và đánh cắp mã nguồn, trong đó có các thành phần phần mềm liên quan đến khách hàng của ChainUp. Cơ sở hạ tầng tấn công liên quan đến máy chủ Hàn Quốc 64.176.226[.]36 và tên miền itemnania[.]com. Báo cáo cho biết hoạt động này phù hợp với các đặc điểm tấn công liên quan đến Triều Tiên, nhưng mức độ tin cậy khi quy kết là trung bình và nguồn gốc của thông tin xác thực AWS vẫn chưa được xác định rõ.