تقوم حملة متطورة وسرقة بيانات اعتماد واسعة النطاق باستغلال ثغرة React2Shell (CVE-2025-55182) في تطبيقات Next.js بنشاط. وفقًا لباحثي Cisco Talos، يستخدم الجهات الفاعلة المهددة المسح الآلي لتحديد التطبيقات المعرضة للخطر، ونشر سريبت متعدد المراحل لجمع مجموعة واسعة من البيانات الحساسة. تمت نسب الحملة، التي تُعزى إلى مجموعة تهديدات تُتعقب تحت اسم UAT-10608، إلى اختراق 766 مضيفًا على الأقل عبر موفري سحابة متعددين ومناطق عالمية. الهدف الرئيسي للعملية هو الجمع الآلي لبيانات اعتماد قواعد البيانات، ومفاتيح AWS، ومفاتيح SSH الخاصة، ورموز API، وأسرار البيئة من الأنظمة المخترقة.
يهاجم العملية إطار عمل مخصص يُطلق عليه اسم "NEXUS Listener" لإدارة عملية استخراج البيانات. بعد استغلال عيب React2Shell، يضع المهاجمون سكريبت في الدليل المؤقت للهدف. ينفذ هذا السكريبت روتينًا لجمع بيانات الاعتماد، ويبحث بشكل منهجي عن المعلومات الحساسة ويجمعها. ثم يتم استخراج البيانات المسروقة على شكل قطع عبر طلبات HTTP عبر المنفذ 8080 إلى خادم تحكم وأمر (C2) يعمل على تشغيل مكون NEXUS Listener. تمكن الباحثون الذين حصلوا على الوصول إلى مثيل مكشوف من هذا المستمع من تحليل العملية بالتفصيل، مع الإشارة إلى أنه يوفر للمهاجمين لوحة تحكم شاملة للبحث في البيانات التي تم جمعها وتصفيتها.
تمثل ثغرة React2Shell (CVE-2025-55182) خطرًا حرجًا لتنفيذ التعليمات البرمجية عن بُعد (RCE) لتطبيقات Next.js معينة. يسمح للمهاجمين بحقن وتنفيذ تعليمات برمجية عشوائية على الخادم، مما يوفر موطئ القدم الأولي لهذه الحملة الآلية. يشير التحول نحو الاستغلال الآلي واسع النطاق لمثل هذه الثغرات على مستوى التطبيق إلى اتجاه مقلق حيث يمكن للمهاجمين توسيع نطاق العمليات بسرعة لاستهداف الآلاف من الضحايا المحتملين بأقل تدخل يدوي، مع التركيز على سرقة أسرار السحابة والبنية التحتية التي تمنح وصولاً فوريًا إلى الموارد القيمة.
يُحث المؤسسات التي تستخدم Next.js على ترقيع تطبيقاتها على الفور ومراجعة الأنظمة بحثًا عن علامات الاختراق. يجب على فرق الأمان مراقبة اتصالات الصادرة غير المتوقعة على المنفذ 8080 وفحص العمليات التي تعمل من الدلائل المؤقتة بعناية. علاوة على ذلك، نظرًا لتركيز الحملة على بيانات اعتماد السحابة، فإن فرض مبدأ الامتياز الأقل صرامة لأدوار IAM، وتدوير مفاتيح API والأسرار بانتظام، واستخدام حلول قوية لإدارة الأسرار هي إجراءات دفاعية حرجة للحد من نصف قطر التأثير لمثل هذه التسللات.
