Изощренная крупномасштабная кампания по краже учетных данных активно эксплуатирует уязвимость React2Shell (CVE-2025-55182) в приложениях Next.js. По данным исследователей Cisco Talos, злоумышленники используют автоматическое сканирование для выявления уязвимых приложений, развертывая многоэтапный сборщик для кражи широкого спектра конфиденциальных данных. Кампания, приписываемая кластеру угроз под названием UAT-10608, уже скомпрометировала как минимум 766 хостов у нескольких облачных провайдеров и в различных регионах мира. Основная цель операции — автоматический сбор учетных данных баз данных, ключей AWS, закрытых SSH-ключей, API-токенов и секретов окружения из взломанных систем.
Атака использует собственную инфраструктуру под названием «NEXUS Listener» для управления процессом эксфильтрации. После эксплуатации уязвимости React2Shell злоумышленники размещают скрипт во временном каталоге цели. Этот скрипт выполняет процедуру сбора учетных данных, систематически находя и собирая конфиденциальную информацию. Украденные данные затем частями передаются через HTTP-запросы на порт 8080 на командный сервер (C2), на котором работает компонент NEXUS Listener. Исследователи, получившие доступ к открытому экземпляру этого слушателя, смогли детально проанализировать операцию, отметив, что она предоставляет злоумышленникам комплексную панель управления для поиска и фильтрации собранных данных.
Уязвимость React2Shell (CVE-2025-55182) представляет собой критический риск удаленного выполнения кода (RCE) для некоторых приложений Next.js. Она позволяет злоумышленникам внедрять и выполнять произвольный код на сервере, обеспечивая первоначальную точку опоры для этой автоматизированной кампании. Переход к автоматизированной крупномасштабной эксплуатации подобных уязвимостей на уровне приложений свидетельствует о тревожной тенденции, когда злоумышленники могут быстро масштабировать операции для атак на тысячи потенциальных жертв с минимальным ручным вмешательством, фокусируясь на краже облачных секретов и секретов инфраструктуры, которые предоставляют немедленный доступ к ценным ресурсам.
Организациям, использующим Next.js, настоятельно рекомендуется немедленно установить патчи для своих приложений и проверить системы на признаки компрометации. Командам безопасности следует отслеживать неожиданные исходящие соединения на порту 8080 и тщательно проверять процессы, запущенные из временных каталогов. Кроме того, учитывая фокус кампании на облачных учетных данных, критически важными оборонительными мерами для ограничения масштаба последствий таких вторжений являются строгое соблюдение принципа наименьших привилегий для IAM-ролей, регулярная смена API-ключей и секретов, а также использование надежных решений для управления секретами.
