PANews melaporkan pada 9 Maret bahwa perusahaan riset keamanan Ctrl-Alt-Intel mengungkapkan bahwa sekelompok peretas yang dicurigai terkait dengan Korea Utara meluncurkan serangan terhadap platform staking, penyedia perangkat lunak pertukaran dan pertukaran kripto. Penyerang mengeksploitasi kerentanan React2Shell (CVE-2025-55182) dan mencuri kredensial AWS untuk menyerang lingkungan cloud, mencuri informasi sumber daya seperti S3 dan EC2, dan mengekstrak kunci dari Secrets Manager, file Terraform, konfigurasi Kubernetes, dan kontainer Docker.

Peretas mengunduh 5 gambar Docker dan mencuri kode sumber, yang melibatkan komponen perangkat lunak pelanggan ChainUp. Server serangan berlokasi di Korea Selatan (64.176.226[.] 36), menggunakan nama domain itemnania[.] com。 Tingkat kepercayaan atribusi saat ini sedang sedang, dan sumber kredensial AWS tidak jelas.