Gate Newsの報道によると、3月9日、安全研究機関のCtrl-Alt-Intelは、北朝鮮に関連すると疑われるハッカーグループがステーキングプラットフォーム、取引所ソフトウェアのサプライヤー、暗号取引所を標的とした攻撃を行ったと明らかにしました。攻撃者はReact2Shellの脆弱性(CVE-2025-55182)と取得したAWSアクセス証明書を利用してクラウド環境に侵入し、S3、EC2、RDS、EKS、ECRなどのリソースを列挙し、Secrets Manager、Terraformファイル、Kubernetes設定、Dockerコンテナから鍵や証明書を抽出しました。研究者によると、攻撃者は5つのDockerイメージをダウンロードし、ソースコードを窃取し、その中にはChainUpの顧客関連ソフトウェアコンポーネントも含まれています。攻撃のインフラは韓国のサーバー64.176.226.36およびドメイン名itemnania.comに関係しています。報告書は、この活動が北朝鮮に関連する攻撃の特徴と一致するとしていますが、帰属の信頼度は中程度で、AWS証明書の出所は明らかになっていません。
