A PANews noticiou a 9 de março que a empresa de investigação em segurança Ctrl-Alt-Intel revelou que um grupo de hackers suspeitos de estar relacionados com a Coreia do Norte lançou ataques a plataformas de staking, fornecedores de software de exchange e exchanges de criptomoedas. Os atacantes exploraram a vulnerabilidade React2Shell (CVE-2025-55182) e roubaram credenciais AWS para invadir ambientes cloud, roubar informações de recursos como S3 e EC2, e extrair chaves do Secrets Manager, ficheiros Terraform, configurações Kubernetes e contentores Docker.

Hackers descarregaram 5 imagens Docker e roubaram código-fonte, envolvendo componentes de software de clientes ChainUp. O servidor de ataque estava localizado na Coreia do Sul (64.176.226[.] 36), usando o nome de domínio itemnania[.] com。 O nível de confiança na atribuição é atualmente médio, e a origem da credencial AWS não é clara.