Órgão de segurança: suposto grupo de hackers norte-coreano realiza ataques coordenados a empresas de criptomoedas para roubar chaves e ativos na nuvem

Notícias do Mars Finance, a organização de pesquisa de segurança Ctrl-Alt-Intel revelou que um grupo de hackers suspeito de estar relacionado à Coreia do Norte lançou ataques contra plataformas de staking, fornecedores de software de exchanges e exchanges de criptomoedas. Os atacantes exploraram a vulnerabilidade React2Shell (CVE-2025-55182) e utilizaram credenciais de acesso AWS obtidas para invadir ambientes em nuvem, enumerando recursos como S3, EC2, RDS, EKS, ECR, entre outros, além de extrair chaves e credenciais de Secrets Manager, arquivos Terraform, configurações Kubernetes e containers Docker. Os pesquisadores afirmam que os atacantes baixaram 5 imagens Docker e roubaram o código-fonte, incluindo componentes de software relacionados aos clientes da ChainUp. A infraestrutura de ataque envolve servidores na Coreia do Sul com IP 64.176.226[.]36 e o domínio itemnania[.]com. O relatório indica que a atividade apresenta características semelhantes a ataques ligados à Coreia do Norte, mas a confiança na atribuição é moderada, e a origem das credenciais AWS não foi claramente identificada.