PANews informó el 9 de marzo que la firma de investigación en seguridad Ctrl-Alt-Intel reveló que un grupo de hackers sospechosos de estar relacionados con Corea del Norte lanzaron ataques contra plataformas de staking, proveedores de software de intercambio y exchanges de criptomonedas. Los atacantes aprovecharon la vulnerabilidad React2Shell (CVE-2025-55182) y robaron credenciales AWS para invadir entornos en la nube, robar información de recursos como S3 y EC2, y extraer claves de Secrets Manager, archivos Terraform, configuraciones de Kubernetes y contenedores Docker.

Hackers descargaron 5 imágenes de Docker y robaron código fuente, que involucraba componentes de software de clientes de ChainUp. El servidor de ataque estaba ubicado en Corea del Sur (64.176.226[.] 36), usando el nombre de dominio itemnania[.] com。 El nivel de confianza en la atribución es actualmente medio, y el origen de la credencial de AWS no está claro.