安全机构Ctrl-Alt-Intel披露,疑似朝鲜黑客组织对加密货币质押平台、交易所软件供应商及加密交易所发起协同攻击。
攻击手法
- 利用React2Shell漏洞(CVE-2025-55182)及已窃取的AWS凭证入侵云环境。
- 枚举S3、EC2、RDS、EKS、ECR等云资源。
- 从Secrets Manager、Terraform文件、Kubernetes配置及Docker容器中提取密钥与凭证。
窃取资产
攻击者下载了5个Docker镜像并窃取源代码,其中包括与交易所软件供应商ChainUp客户相关的软件组件。
攻击溯源
- 攻击基础设施涉及韩国服务器
64.176.226[.]36及域名itemnania[.]com。 - 活动特征与朝鲜相关攻击一致,但归因置信度为中等,AWS凭证具体来源尚未明确。
