PANews ha riportato il 9 marzo che la società di ricerca sulla sicurezza Ctrl-Alt-Intel ha rivelato che un gruppo di hacker sospettati di essere legati alla Corea del Nord ha lanciato attacchi contro piattaforme di staking, fornitori di software di exchange e exchange crypto. Gli attaccanti hanno sfruttato la vulnerabilità React2Shell (CVE-2025-55182) e rubato credenziali AWS per invadere ambienti cloud, rubare informazioni sulle risorse come S3 ed EC2 ed estrarre chiavi da Secrets Manager, file Terraform, configurazioni Kubernetes e container Docker.

Gli hacker hanno scaricato 5 immagini Docker e rubato codice sorgente, coinvolgendo componenti software dei clienti ChainUp. Il server d'attacco si trovava in Corea del Sud (64.176.226[.] 36), utilizzando il nome di dominio itemnania[.] com。 Il livello di fiducia nell'attribuzione è attualmente medio e la fonte della credenziale AWS non è chiara.