北朝鮮ハッカーが暗号資産企業を標的とし、鍵やクラウド資産を盗む一連の攻撃を実施

北朝鮮関連の脅威アクターが、一連の攻撃キャンペーンを通じて暗号資産企業を標的とし、ウェブアプリの脆弱性を悪用し、クラウドを乱用し、秘密情報を盗むことで、大規模なデジタル資産窃盗を準備していると観察されています。

攻撃の全体像

これらの侵入は、React2Shell脆弱性（CVE-2025-55182）による初期アクセスからAWSとKubernetesの詳細な調査、そして独自の取引ソフトウェアと鍵のエクスフィルレーションまで、完全な攻撃チェーンを示しています。

攻撃者は、React Server ComponentsとNext.jsで存在する重大な未認証リモートコード実行の脆弱性（React2Shell）を利用して、インターネットに公開されている暗号資産ステーキングプラットフォームを標的としました。

これらの脆弱性を悪用することで、サーバーサイドのアプリケーションコンポーネントで任意のコマンドを実行することができました。

攻撃者は、有効なAWSアクセストークンを使用して、別々の暗号資産取引所のテナントを侵害しました。

被害者の組織からバックエンドのソースコードをアーカイブし、エクスフィルレーションしました。このソースコードには、バックエンドのNext.jsソースコードが含まれており、その中にはトロンウォレットアドレスと秘密鍵が含まれていました。

攻撃者は、AWSの主要なサービス（EC2、RDS、S3、Lambda、EKS、ECR、IAM）を一貫して調査し、S3パスを再帰的にリストアップし、kubeconfigディレクトリ、キーの材料、設定ファイル、Terraformステートファイルを検索しました。

攻撃者は、AWSシークレットマネージャー、Kubernetes ConfigMapsとSecrets、実行中のコンテナ内の設定ファイルから平文のシークレットを抽出し、プライベートGitリポジトリをクローンしてバックエンドの完全な可視性を確保しました。

このキャンペーンでは、VShellサーバーとFRP（Fast Reverse Proxy）が使用され、コマンドアンドコントロールのインフラストラクチャが構築されました。

攻撃者は、韓国にホストされたVPSを介して、SSH活動とトンネリングを介して追加の起源隠蔽を行いました。

攻撃者は、ステーキングプラットフォーム、取引所ソフトウェアベンダー、および取引所自体を標的とし、バックエンドのソースコード、データベースの資格情報、秘密鍵、取引所ミドルウェアに焦点を当てました。

これらの攻撃は、北朝鮮の関連アクターによるものであると評価されていますが、最終的な確認にはさらなる調査が必要です。

元記事: https://gbhackers.com/dprk-hackers-target-crypto-firms-2/