Безпекова організація: підозрювана корейська хакерська група здійснює спільну атаку на криптовалютні компанії з метою викрадення ключів та хмарних активів

Новини Mars Finance: дослідницька організація Ctrl-Alt-Intel повідомила, що група хакерів, ймовірно, пов’язана з Північної Кореєю, здійснила атаки на платформи для стейкінгу, постачальників програмного забезпечення для бірж та криптовалютні біржі. Зловмисники використали вразливість React2Shell (CVE-2025-55182) та отримані доступи до AWS для проникнення в хмарне середовище, перерахували ресурси S3, EC2, RDS, EKS, ECR та витягли ключі та облікові дані з Secrets Manager, Terraform файлів, Kubernetes конфігурацій та Docker контейнерів. Дослідники повідомили, що зловмисники завантажили 5 Docker образів і викрали вихідний код, зокрема компоненти програмного забезпечення, пов’язані з клієнтами ChainUp. Інфраструктура атаки включає сервери в Південній Кореї за IP-адресою 64.176.226[.]36 та домен itemnania[.]com. У звіті зазначено, що активність відповідає характеристикам атак, пов’язаних з Північної Кореєю, але рівень довіри до attribution є середнім, а джерело AWS-облікових даних не встановлено.