PANews, 9 Mart'ta güvenlik araştırma firması Ctrl-Alt-Intel'in, Kuzey Kore ile bağlantılı olduğundan şüphelenen bir grup hacker'ın staking platformlarına, borsa yazılım sağlayıcılarına ve kripto borsalarına saldırılar düzenlediğini açıkladığını bildirdi. Saldırganlar, React2Shell açığını (CVE-2025-55182) ve AWS kimlik bilgilerini çalarak bulut ortamlarına girdi, S3 ve EC2 gibi kaynak bilgilerini çaldı ve Secrets Manager, Terraform dosyaları, Kubernetes yapılandırmaları ve Docker konteynerlerinden anahtarları çıkardı.

Hackerlar, 5 Docker görsesini indirdi ve kaynak kodunu çaldı; bu kodlar ChainUp müşteri yazılım bileşenlerini içeriyordu. Saldırı sunucusu Güney Kore'de bulunuyordu (64.176.226[.] 36), alan adı itemnania[.] kullanılarak com。 Atıf güven seviyesi şu anda orta ve AWS kimliğinin kaynağı net değildir.