Компания по кибербезопасности обнаружила кампанию с предполагаемой связью с КНДР против криптоплатформ и облачной инфраструктуры

Исследовательская компания CtrlAltIntel сообщила 9 марта, что хакерская группа, предположительно связанная с Северной Кореей, атаковала стейкинг-платформы, поставщиков ПО для бирж и криптовалютные биржи, эксплуатируя уязвимость React2Shell (CVE202555182) и используя скомпрометированные учетные данные AWS. По данным компании, злоумышленники получили доступ к облачным средам, перечислили ресурсы включая S3, EC2, RDS, EKS и ECR, извлекли ключи и учетные данные из AWS Secrets Manager, файлов Terraform, конфигураций Kubernetes и Docker-контейнеров. Исследователи отметили, что группа загрузила пять Docker-образов и похитила исходный код, включая программные компоненты клиентов ChainUp, используя инфраструктуру на базе корейского сервера 64.176.226[.]36 и домена itemnania[.]com. CtrlAltIntel подчеркнула, что тактика и инфраструктура соответствуют ранее зафиксированной активности северокорейских операций, но уровень уверенности в атрибуции остается умеренным, а источник учетных данных AWS неизвестен.