A PANews informou em 9 de março que a empresa de pesquisa em segurança Ctrl-Alt-Intel revelou que um grupo de hackers suspeitos de estar relacionado à Coreia do Norte lançou ataques contra plataformas de staking, provedores de software de exchange e exchanges de criptomoedas. Atacantes exploraram a vulnerabilidade React2Shell (CVE-2025-55182) e roubaram credenciais AWS para invadir ambientes em nuvem, roubar informações de recursos como S3 e EC2, e extrair chaves do Secrets Manager, arquivos Terraform, configurações Kubernetes e contêineres Docker.

Hackers baixaram 5 imagens do Docker e roubaram código-fonte, envolvendo componentes de software de clientes da ChainUp. O servidor de ataque estava localizado na Coreia do Sul (64.176.226[.] 36), usando o nome de domínio itemnania[.] com。 O nível de confiança na atribuição atualmente é médio, e a origem da credencial AWS não é clara.