Agence de sécurité : organisation de hackers suspectée de la Corée du Nord attaque des entreprises de cryptomonnaie, volant des actifs cloud et des clés

Gate News rapporte que le 9 mars, l’institution de recherche en sécurité Ctrl-Alt-Intel a révélé qu’un groupe de hackers suspectés d’être liés à la Corée du Nord avait lancé une attaque contre des plateformes de staking, des fournisseurs de logiciels d’échange et des bourses de cryptomonnaies. Les attaquants ont exploité la vulnérabilité React2Shell (CVE-2025-55182) ainsi que des identifiants AWS déjà obtenus pour pénétrer dans l’environnement cloud, énumérer des ressources telles que S3, EC2, RDS, EKS, ECR, et extraire des clés et des identifiants depuis Secrets Manager, des fichiers Terraform, des configurations Kubernetes et des conteneurs Docker. Selon les chercheurs, les attaquants ont téléchargé 5 images Docker et volé du code source, y compris des composants logiciels liés aux clients de ChainUp. L’infrastructure d’attaque comprend un serveur sud-coréen, 64.176.226.36, et le domaine itemnania.com. Le rapport indique que cette activité présente des caractéristiques d’attaque associées à la Corée du Nord, mais la confiance dans l’attribution est modérée, et la provenance des identifiants AWS n’est pas clairement établie.