Хакери спроведуваат голема кампања за кражба на креденцијали на автоматизиран начин, искористувајќи ја React2Shell (CVE-2025-55182) во ранливи Next.js апликации.

Во оваа операција се компромитирани најмалку 766 хостови низ различни облак провајдери и географски локации, со цел да се соберат бази на податоци и AWS креденцијали, SSH приватни клучеви, API клучеви, облак токени и тајни од околината.

Операцијата користи рамка наречена NEXUS Listener и автоматизирани скрипти за извлекување и ексфилтрација на чувствителни податоци од различни апликации. Cisco Talos ја припишува оваа активност на заканувачки кластер означен како UAT-10608. Истражувачите добија пристап до изложена инстанца на NEXUS Listener, што им овозможи да анализираат каков тип на податоци се собираат од компромитираните системи и како функционира веб апликацијата.

Автоматизирано собирање на тајни

Нападот започнува со автоматизирано скенирање на ранливи Next.js апликации, кои се пробиваат преку ранливоста React2Shell. Скрипта која извршува повеќефазна рутина за собирање креденцијали е поставена во стандардниот привремен директориум.

Според истражувачите на Cisco Talos, податоците украдени на овој начин вклучуваат:

  • Променливи од околината и тајни (API клучеви, креденцијали за бази на податоци, GitHub/GitLab токени)
  • SSH клучеви
  • Облак креденцијали (AWS/GCP/Azure метаподатоци, IAM креденцијали)
  • Kubernetes токени
  • Информации за Docker/контейнери
  • Историја на команди
  • Податоци за процеси и време на извршување

Чувствителните податоци се ексфилтрираат во делови, секој испратен преку HTTP барање на порт 8080 до командно-контролен (C2) сервер кој го извршува NEXUS Listener компонентот. Напаѓачот потоа добива детален преглед на податоците, вклучувајќи пребарување, филтрирање и статистички увиди.

„Апликацијата содржи листа на неколку статистики, вклучувајќи го бројот на компромитирани хостови и вкупниот број на секој тип на креденцијали кои успешно биле извлечени од тие хостови.“ — Cisco Talos

„Исто така, ја наведува и времетраењето на самата апликација. Во овој случај, автоматизираната рамка за експлоатација и собирање успеа да компромитира 766 хостови во рок од 24 часа.“

Препораки за заштита

Украдените тајни им овозможуваат на напаѓачите да извршат преземање на облачни сметки и пристап до бази на податоци, платежни системи и други услуги, исто така отворајќи можност за напади на синџирот на снабдување. SSH клучевите можат да се користат за латерално движење.

Cisco истакнува дека компромитираните податоци, вклучувајќи и лично идентификувачки детали, исто така ги изложуваат жртвите на регулаторни последици од прекршувања на законите за приватност.

Истражувачите препорачуваат системските администратори да ги применат безбедносните ажурирања за React2Shell, да извршат ревизија на изложеноста на податоци на серверската страна и веднаш да ги ротираат сите креденцијали ако има сомнеж за компромис.

Исто така, се препорачува да се спроведе AWS IMDSv2 и да се заменат сите повторно употребени SSH клучеви. Тие треба да овозможат скенирање на тајни, да имплементираат WAF/RASP заштити за Next.js и да применат принцип на најмала привилегија низ контејнерите и облачните улоги за да го ограничат влијанието.