Agencia de seguridad: presunto grupo de hackers norcoreanos ataca empresas de criptomonedas, robando activos en la nube y claves

Gate News Noticias, el 9 de marzo, la organización de investigación en seguridad Ctrl-Alt-Intel reveló que un grupo de hackers sospechosos de estar relacionados con Corea del Norte lanzó ataques contra plataformas de staking, proveedores de software de exchanges y exchanges de criptomonedas. Los atacantes aprovecharon la vulnerabilidad React2Shell (CVE-2025-55182) y credenciales de acceso a AWS ya obtenidas para infiltrarse en entornos en la nube, enumerar recursos como S3, EC2, RDS, EKS, ECR, y extraer claves y credenciales de Secrets Manager, archivos Terraform, configuraciones de Kubernetes y contenedores Docker. Los investigadores informaron que los atacantes descargaron 5 imágenes Docker y robaron código fuente, incluyendo componentes de software relacionados con ChainUp. La infraestructura de ataque involucra servidores en Corea del Sur con IP 64.176.226.36 y el dominio itemnania.com. El informe indica que las características del ataque son consistentes con actividades relacionadas con Corea del Norte, aunque la atribución tiene un nivel de confianza medio y no se ha determinado claramente el origen de las credenciales de AWS.