PANews poinformował 9 marca, że firma badawcza Ctrl-Alt-Intel ujawniła, iż grupa hakerów podejrzewanych o powiązania z Koreą Północną przeprowadziła ataki na platformy stakingowe, dostawców oprogramowania giełdowego oraz giełdy kryptowalutowe. Atakujący wykorzystali lukę React2Shell (CVE-2025-55182) i ukradli dane uwierzytelniające AWS, aby włamać się do środowisk chmurowych, kraść informacje o zasobach takich jak S3 i EC2 oraz wyciągać klucze z Secrets Manager, plików Terraform, konfiguracji Kubernetes i kontenerów Docker.

Hakerzy pobrali 5 obrazów Docker i ukradli kod źródłowy, obejmujący komponenty oprogramowania klienta ChainUp. Serwer ataku znajdował się w Korei Południowej (64.176.226[.] 36), używając nazwy domeny itemnania[.] com。 Poziom pewności atrybucji jest obecnie średni, a źródło poświadczenia AWS nie jest jasne.