Lembaga Keamanan: Dugaan kelompok peretas Korea Utara melakukan serangan bersama terhadap perusahaan cryptocurrency untuk mencuri kunci dan aset cloud

Berita dari Mars Finance, lembaga riset keamanan Ctrl-Alt-Intel mengungkapkan bahwa sekelompok hacker yang diduga terkait dengan Korea Utara melancarkan serangan terhadap platform staking, penyedia perangkat lunak bursa, dan bursa kripto. Penyerang memanfaatkan kerentanan React2Shell (CVE-2025-55182) dan kredensial akses AWS yang telah diperoleh untuk masuk ke lingkungan cloud, melakukan enumerasi sumber daya seperti S3, EC2, RDS, EKS, ECR, dan lainnya, serta mengekstrak kunci dan kredensial dari Secrets Manager, file Terraform, konfigurasi Kubernetes, dan container Docker. Peneliti menyatakan bahwa penyerang mengunduh 5 gambar Docker dan mencuri kode sumber, termasuk komponen perangkat lunak terkait pelanggan ChainUp. Infrastruktur serangan melibatkan server Korea Selatan 64.176.226[.]36 dan domain itemnania[.]com. Laporan menyebutkan bahwa aktivitas ini memiliki karakteristik serangan yang konsisten dengan Korea Utara, namun tingkat kepercayaan atribusi sedang, dan sumber kredensial AWS belum jelas.