Безпекова організація: підозрювані північнокорейські хакерські групи атакували криптовалютні компанії, викравши хмарні активи та ключі

Gate News повідомляє, 9 березня, дослідницька організація Ctrl-Alt-Intel опублікувала інформацію про групу хакерів, ймовірно, пов’язаних із Північною Кореєю, які здійснили атаки на платформи для стейкінгу, постачальників програмного забезпечення для бірж та криптовалютні біржі. Зловмисники використали вразливість React2Shell (CVE-2025-55182) та отримані доступи до AWS для проникнення у хмарне середовище, перерахували ресурси S3, EC2, RDS, EKS, ECR та витягли ключі й облікові дані з Secrets Manager, Terraform файлів, Kubernetes конфігурацій та Docker контейнерів. Дослідники повідомляють, що зловмисники завантажили 5 Docker образів і викрали вихідний код, зокрема компоненти програмного забезпечення, пов’язані з клієнтами ChainUp. Інфраструктура атаки розміщена на корейських серверах 64.176.226.36 та домені itemnania.com. У звіті зазначається, що активність має ознаки, характерні для атак, пов’язаних із Північною Кореєю, але рівень довіри до attribution — середній, джерело AWS-облікових даних не встановлено.