Sicherheitsbehörde: Verdächtige nordkoreanische Hackergruppe greift Krypto-Unternehmen an, stiehlt Cloud-Ressourcen und Schlüssel

Gate News Nachrichten, am 9. März hat die Sicherheitsforschungsorganisation Ctrl-Alt-Intel bekannt gegeben, dass eine Gruppe mutmaßlich mit Nordkorea in Verbindung stehender Hacker Angriffe auf Staking-Plattformen, Softwareanbieter von Börsen und Krypto-Börsen durchgeführt hat. Die Angreifer nutzten die React2Shell-Sicherheitslücke (CVE-2025-55182) sowie gestohlene AWS-Zugangsdaten, um in Cloud-Umgebungen einzudringen, Ressourcen wie S3, EC2, RDS, EKS, ECR zu enumerieren und Schlüssel sowie Zugangsdaten aus Secrets Manager, Terraform-Dateien, Kubernetes-Konfigurationen und Docker-Containern zu extrahieren. Die Forscher berichten, dass die Angreifer fünf Docker-Images heruntergeladen und Quellcode gestohlen haben, darunter Komponenten der von ChainUp betreuten Software. Die Angriffsinfrastruktur umfasst koreanische Server unter der IP 64.176.226.36 und die Domain itemnania.com. Der Bericht weist darauf hin, dass das Verhalten mit Merkmalen nordkoreanischer Angriffe übereinstimmt, die Zuordnung jedoch mit mittlerer Sicherheit erfolgt, da die Herkunft der AWS-Zugangsdaten unklar ist.