PANews 9. března informoval, že bezpečnostní výzkumná firma Ctrl-Alt-Intel zveřejnila, že skupina hackerů podezřelých ze spojení se Severní Koreou zahájila útoky na stakingové platformy, poskytovatele softwaru pro burzy a kryptoměnové burzy. Útočníci zneužili zranitelnost React2Shell (CVE-2025-55182) a ukradli přihlašovací údaje AWS k narušení cloudových prostředí, krádeži informací o zdrojích jako S3 a EC2 a extrakci klíčů ze Secrets Manageru, souborů Terraform, konfigurací Kubernetes a Docker kontejnerů.

Hackeři stáhli 5 obrazů Dockeru a ukradli zdrojový kód, který zahrnoval komponenty zákaznického softwaru ChainUp. Útočný server se nacházel v Jižní Koreji (64.176.226[.] 36), přičemž se používá doména itemnania[.] com。 Úroveň důvěry v atribuci je v současnosti střední a zdroj AWS osvědčení není jasný.