PANews berichtete am 9. März, dass das Sicherheitsforschungsunternehmen Ctrl-Alt-Intel offengelegt hatte, dass eine Gruppe von Hackern, die verdächtigt werden, mit Nordkorea verbunden zu sein, Angriffe auf Staking-Plattformen, Anbieter von Börsensoftware und Kryptobörsen gestartet habe. Angreifer nutzten die React2Shell-Schwachstelle (CVE-2025-55182) aus und stahlen AWS-Zugangsdaten, um in Cloud-Umgebungen einzudringen, Ressourceninformationen wie S3 und EC2 zu stehlen und Schlüssel aus Secrets Manager, Terraform-Dateien, Kubernetes-Konfigurationen und Docker-Containern zu extrahieren.

Hacker luden fünf Docker-Images herunter und haben Quellcode gestohlen, darunter ChainUp-Kundensoftwarekomponenten. Der Angriffsserver befand sich in Südkorea (64.176.226[.] 36), unter Verwendung des Domainnamens itemnania[.] com。 Das Attributionskonfidenzniveau ist derzeit mittelmäßig, und die Herkunft der AWS-Credential ist unklar.