Agencia de seguridad: organización de hackers sospechosa de Corea del Norte colabora en ataques a empresas de criptomonedas para robar claves y activos en la nube

Noticias de Mars Finance, la organización de investigación en seguridad Ctrl-Alt-Intel reveló que un grupo de hackers sospechosos de estar relacionados con Corea del Norte lanzó ataques contra plataformas de staking, proveedores de software de exchanges y exchanges de criptomonedas. Los atacantes aprovecharon la vulnerabilidad React2Shell (CVE-2025-55182) y credenciales de acceso a AWS ya obtenidas para infiltrarse en entornos en la nube, enumerar recursos como S3, EC2, RDS, EKS, ECR, y extraer claves y credenciales de Secrets Manager, archivos Terraform, configuraciones de Kubernetes y contenedores Docker. Los investigadores informaron que los atacantes descargaron 5 imágenes Docker y robaron código fuente, incluyendo componentes de software relacionados con ChainUp. La infraestructura de ataque involucra servidores en Corea del Sur con IP 64.176.226[.]36 y el dominio itemnania[.]com. El informe indica que la actividad coincide con características de ataques relacionados con Corea del Norte, aunque la atribución tiene un nivel de confianza medio y no se ha determinado claramente la fuente de las credenciales de AWS.