PANews rapporterade den 9 mars att säkerhetsforskningsföretaget Ctrl-Alt-Intel avslöjade att en grupp hackare som misstänks vara kopplade till Nordkorea genomförde attacker mot stakingplattformar, börsmjukvaruleverantörer och kryptobörser. Angripare utnyttjade React2Shell-sårbarheten (CVE-2025-55182) och stal AWS-inloggningsuppgifter för att invadera molnmiljöer, stjäla resursinformation som S3 och EC2 samt extrahera nycklar från Secrets Manager, Terraform-filer, Kubernetes-konfigurationer och Docker-containrar.

Hackare laddade ner 5 Docker-bilder och stal källkod, vilket involverade ChainUp-kundmjukvarukomponenter. Attackservern var placerad i Sydkorea (64.176.226[.] 36), med domännamnet itemnania[.] com。 Attributionskonfidensnivån är för närvarande medel, och källan till AWS-behörigheten är oklar.