Безопасностная организация: предположительная координированная атака хакерской группировки из Северной Кореи на криптовалютные компании с целью кражи ключей и облачных активов

Марсианские финансы сообщают, что исследовательская организация по безопасности Ctrl-Alt-Intel раскрыла информацию о группе хакеров, предположительно связанных с Северной Кореей, которая осуществила атаки на платформы стейкинга, поставщиков программного обеспечения для бирж и криптовалютные биржи. Злоумышленники использовали уязвимость React2Shell (CVE-2025-55182) и полученные учетные данные доступа к AWS для проникновения в облачную среду, перечисляя ресурсы S3, EC2, RDS, EKS, ECR и извлекая ключи и учетные данные из Secrets Manager, Terraform файлов, конфигураций Kubernetes и Docker контейнеров. Исследователи сообщили, что злоумышленники скачали 5 Docker-образов и похитили исходный код, включая компоненты программного обеспечения, связанные с клиентами ChainUp. Инфраструктура атаки включает серверы в Южной Корее по адресу 64.176.226[.]36 и домен itemnania[.]com. В отчете отмечается, что активность соответствует характеристикам атак, связанных с Северной Кореей, однако уровень доверия к атрибуции средний, а источник учетных данных AWS не установлен.