PANews сообщил 9 марта, что исследовательская компания Ctrl-Alt-Intel раскрыла, что группа хакеров, подозреваемых в связи с Северной Кореей, начала атаки на платформы стейкинга, поставщиков программного обеспечения для бирж и криптобиржи. Злоумышленники использовали уязвимость React2Shell (CVE-2025-55182) и украденные учетные данные AWS, чтобы проникнуть в облачные среды, украсть информацию о ресурсах, таких как S3 и EC2, а также извлечь ключи из Secrets Manager, файлов Terraform, конфигураций Kubernetes и контейнеров Docker.

Хакеры скачали 5 изображений Docker и украли исходный код, задействовавший компоненты программного обеспечения ChainUp. Сервер атаки находился в Южной Корее (64.176.226[.] 36), используя доменное имя itemnania[.] com。 Уровень доверия к атрибуции в настоящее время средний, а источник удостоверения AWS неясен.