تقوم حملة تهديد متطورة وآلية، يتعقبها الباحثون في الأمن السيبراني تحت المعرف UAT-10608، باستهداف تطبيقات معرضة للويب والمبنية باستخدام إطار عمل Next.js بنشاط. يستغل المهاجمون ثغرة أمنية معروفة، يطلق عليها اسم "React2Shell"، والتي تسمح بتنفيذ التعليمات البرمجية عن بُعد. توفر هذه الثغرة نقطة الارتكاز الأولية، مما يمكن الجهات الفاعلة التهديدة من نشر أداة آلية مخصصة مصممة لاستخراج البيانات بشكل منهجي. الهدف الأساسي من هذه الأداة هو حصاد المعلومات الحساسة، بما في ذلك بيانات الاعتماد، ومفاتيح واجهة برمجة التطبيقات (API)، وسلسلة اتصالات قواعد البيانات، والأسرار النظامية الحرجة الأخرى التي غالبًا ما يتم تخزينها داخل المتغيرات البيئية أو ملفات التكوين للتطبيقات المخترقة.
يمثل الجانب الآلي لحملة UAT-10608 تصعيدًا كبيرًا في كفاءة ونطاق مثل هذه الهجمات. بمجرد استغلال ثغرة React2Shell بنجاح على نسخة ضعيفة من Next.js، ينفذ الحمولة الآلية دون الحاجة إلى تدخل يدوي إضافي. تقوم الأداة بإجراء استطلاع على المضيف، ومسح مخازن البيانات القيمة، وجمع المعلومات المسروقة وتعبئتها بشكل منهجي لاستخراجها. يسمح هذا التحول نحو الأتمتة الكاملة لمجموعة التهديد باختراق عدد كبير من الأهداف بسرعة، والانتقال من الاستغلال الأولي إلى سرقة البيانات في غضون دقائق، مما يزيد من تأثيرها والربح المالي المحتمل من بيانات الاعتماد المسروقة.
تشكل بيانات الاعتماد المسروقة خطرًا شديدًا ومتعدد الطبقات. يمكن أن تؤدي كلمات المرور الإدارية أو مفاتيح خدمات السحابة المخترقة إلى الاستيلاء الكامل على تطبيق الويب المتأثر والبنية التحتية الأساسية له. علاوة على ذلك، غالبًا ما يتم إعادة استخدام بيانات الاعتماد هذه عبر خدمات مختلفة، مما يتيح الانتقال الجانبي داخل شبكة الشركة أو يوفر الوصول إلى منصات الطرف الثالث المرتبطة بالتطبيق الرئيسي. يمكن بيع الأسرار المستخرجة في منتديات الجريمة الإلكترونية تحت الأرض، أو استخدامها لنشر برامج الفدية، أو الاستفادة منها لأغراض التجسس، اعتمادًا على طبيعة المنظمة المستهدفة.
للدفاع ضد هذا التهديد الآلي، يجب على المنظمات التي تستخدم Next.js إعطاء الأولوية لعدة إجراءات رئيسية. يعد تصحيح ثغرة React2Shell على الفور الخطوة الأكثر أهمية، مما يتطلب من المطورين التحديث إلى أحدث إصدارات Next.js الآمنة والتبعيات ذات الصلة. إلى جانب التصحيح، يجب على فرق الأمن تنفيذ ممارسات قوية لإدارة بيانات الاعتماد، مثل استخدام أدوات مخصصة لإدارة الأسرار بدلاً من ترميز المفاتيح في ملفات البيئة، وإنفاذ مبدأ الامتياز الأدنى لجميع حسابات الخدمة، وتدوير مفاتيح الوصول بشكل روتيني. بالإضافة إلى ذلك، يعد نشر جدران حماية تطبيقات الويب (WAFs) بقواعد مصممة خصيصًا للكشف عن محاولات الاستغلال وحظرها، إلى جانب المراقبة المستمرة لعمليات نقل البيانات غير العادية الصادرة، أمرًا ضروريًا لتحديد مثل هذه الحملات الآلية والتخفيف من حدتها قبل فقدان البيانات الحرجة.
