PANews rapporterte 9. mars at sikkerhetsforskningsfirmaet Ctrl-Alt-Intel avslørte at en gruppe hackere mistenkt for å være knyttet til Nord-Korea hadde gjennomført angrep på staking-plattformer, børsprogramvareleverandører og kryptobørser. Angripere utnyttet React2Shell-sårbarheten (CVE-2025-55182) og stjal AWS-legitimasjon for å invadere skymiljøer, stjele ressursinformasjon som S3 og EC2, og hente nøkler fra Secrets Manager, Terraform-filer, Kubernetes-konfigurasjoner og Docker-containere.

Hackere lastet ned 5 Docker-bilder og stjal kildekode, som involverte ChainUp-kunders programvarekomponenter. Angrepsserveren var lokalisert i Sør-Korea (64.176.226[.] 36), ved bruk av domenenavnet itemnania[.] com。 Attributionskonfidensnivået er for øyeblikket middels, og kilden til AWS-legitimasjonen er uklar.