PANewsは3月9日、セキュリティ調査会社Ctrl-Alt-Intelが、ステーキングプラットフォーム、取引ソフトウェアベンダー、暗号通貨取引所を攻撃した北朝鮮との関連が疑われるハッカー集団の存在を明らかにしたと報じました。攻撃者はReact2Shellの脆弱性（CVE-2025-55182）を悪用し、盗んだAWS認証情報を用いてクラウド環境に侵入し、S3、EC2などのリソースから情報を盗み出し、Secrets Manager、Terraformファイル、Kubernetes設定、Dockerコンテナからキーを抽出しました。

ハッカーは5つのDockerイメージをダウンロードし、ChainUpの顧客ソフトウェアコンポーネントを含むソースコードを窃取しました。攻撃サーバーは韓国（64.176.226[.]36）に設置されており、ドメインはitemnania[.]comです。攻撃者の特定は現時点で中程度であり、AWS認証情報の出所は未だ明らかになっていません。