PANews повідомив 9 березня, що дослідницька компанія Ctrl-Alt-Intel розкрила, що група хакерів, підозрюваних у зв'язку з Північною Кореєю, здійснила атаки на стейкінг-платформи, постачальників програмного забезпечення для біржі та криптобіржі. Зловмисники скористалися вразливістю React2Shell (CVE-2025-55182) та вкрали облікові дані AWS, щоб проникнути в хмарні середовища, викрасти інформацію про ресурси, таку як S3 і EC2, а також витягти ключі з Secrets Manager, файлів Terraform, конфігурацій Kubernetes і контейнерів Docker.

Хакери завантажили 5 образів Docker і вкрали вихідний код, що стосувалися компонентів програмного забезпечення клієнтів ChainUp. Сервер атаки розташовувався в Південній Кореї (64.176.226[.] 36), використовуючи доменне ім'я itemnania[.] com。 Рівень довіри до атрибуції наразі середній, а джерело облікового запису AWS невідоме.