PANews raportoi 9. maaliskuuta, että tietoturvatutkimusyritys Ctrl-Alt-Intel paljasti, että joukko hakkereita, joiden epäillään liittyvän Pohjois-Koreaan, hyökkäsi stakeikkausalustoille, pörssiohjelmistopalveluntarjoajille ja kryptopörsseille. Hyökkääjät hyödynsivät React2Shell-haavoittuvuutta (CVE-2025-55182) ja varastivat AWS-tunnuksia tunkeutuakseen pilviympäristöihin, varastaakseen resurssitietoja kuten S3:n ja EC2:n sekä poimiakseen avaimia Secrets Managerista, Terraform-tiedostoista, Kubernetes-konfiguraatioista ja Docker-konteista.

Hakkerit latasivat viisi Docker-kuvaa ja varastivat lähdekoodin, johon liittyi ChainUpin asiakasohjelmistokomponentteja. Hyökkäyspalvelin sijaitsi Etelä-Koreassa (64.176.226[.] 36), käyttäen verkkotunnusta itemnania[.] com。 Attribuutioluottamustaso on tällä hetkellä keskitasoinen, eikä AWS-tunnisteen lähde ole selvä.