ذكرت صحيفة PANews في 9 مارس أن شركة أبحاث الأمن Ctrl-Alt-Intel كشفت أن مجموعة من القراصنة المشتبه في ارتباطهم بكوريا الشمالية شنت هجمات على منصات التخزين ومزودي برامج البورصة ومنصات التداول. استغل المهاجمون ثغرة React2Shell (CVE-2025-55182) وسرقوا بيانات اعتماد AWS لغزو بيئات السحابة، وسرقة معلومات الموارد مثل S3 وEC2، واستخراج المفاتيح من مدير الأسرار، وملفات Terraform، وتكوينات Kubernetes، وحاويات Docker.

قام القراصنة بتنزيل 5 صور من Docker وسرقوا شيفرة المصدر، والتي تتعلق بمكونات برامج عملاء ChainUp. كان خادم الهجوم يقع في كوريا الجنوبية (64.176.226[.] 36)، باستخدام اسم النطاق itemnania[.] com。 مستوى الثقة في النسبة حاليا متوسط، ومصدر شهادة AWS غير واضح.