朝鲜关联黑客团伙瞄准加密基础设施

安全研究机构 Ctrl-Alt-Intel 发布报告指出,3月9日发现一组疑似与朝鲜有关的黑客组织,对质押平台、交易所软件供应商及加密交易所展开定向攻击。攻击者利用已知漏洞 CVE-2025-55182(React2Shell)结合非法获取的 AWS 访问凭证,成功渗透目标云环境。

多类型云资源遭枚举与数据窃取

攻击者在内部横向移动过程中,系统性枚举 S3 存储桶、EC2 实例、RDS 数据库、EKS 容器集群及 ECR 镜像仓库等关键资源。通过访问 Secrets Manager、Terraform 配置文件、Kubernetes 配置以及 Docker 容器,提取出敏感密钥与认证凭证。

源代码与镜像被批量下载

研究人员确认,攻击者下载了共计5个 Docker 镜像,并获取其中包含的 ChainUp 客户相关软件组件源代码。该行为表明攻击意图不仅限于短期数据窃取,更可能为后续持久化控制或供应链污染埋下伏笔。

攻击基础设施暴露韩国节点

此次攻击所使用的基础设施包括位于韩国的服务器 64.176.226.36 及域名 itemnania.com。尽管存在地理特征与历史攻击模式相符,但研究团队表示当前归因置信度仅为中等,且原始 AWS 凭证来源尚未查明。

行业安全警觉提升

事件再次凸显加密资产存储与交易系统的安全脆弱性。业内专家提醒,企业应强化云环境访问控制,定期轮换密钥,限制权限最小化,并加强容器与配置文件的安全审计。同时,建议对第三方依赖组件进行持续监控,防范潜在供应链风险。