Hackeři provozují rozsáhlou kampaň zaměřenou na automatizované odcizování přihlašovacích údajů po zneužití zranitelnosti React2Shell (CVE-2025-55182) ve zranitelných aplikacích Next.js.
Nejméně 766 hostitelů napříč různými poskytovateli cloudu a geografickými oblastmi bylo kompromitováno za účelem sběru databázových a AWS přihlašovacích údajů, soukromých SSH klíčů, API klíčů, cloudových tokenů a environmentálních tajemství.
Operace využívá framework nazvaný NEXUS Listener a automatizované skripty k extrakci a exfiltraci citlivých dat z různých aplikací.
Tato aktivita je připisovaná skupině hrozeb sledované jako UAT-10608. Výzkumníci získali přístup k odkryté instanci NEXUS Listener, což jim umožnilo analyzovat typ dat sklizených z kompromitovaných systémů a pochopit, jak tato webová aplikace funguje.
Automatizovaný sběr tajemství
Útok začíná automatizovaným skenováním zranitelných aplikací Next.js, do nichž je proniknuto prostřednictvím zranitelnosti React2Shell. Do standardního dočasného adresáře je umístěn skript, který spouští vícefázovou rutinu sklízení přihlašovacích údajů.
Podle výzkumníků takto odcizená data zahrnují:
- Proměnné prostředí a tajemství (API klíče, databázová pověření, tokeny GitHub/GitLab)
- SSH klíče
- Cloudová pověření (metadata AWS/GCP/Azure, přihlašovací údaje IAM)
- Tokeny Kubernetes
- Informace o Docker/kontejnerech
- Historii příkazů
- Data o procesech a běhovém prostředí
Citlivá data jsou exfiltrována po částech, přičemž každá část je odeslána prostřednictvím HTTP požadavku přes port 8080 na server pro řízení a kontrolu (C2), na němž běží komponenta NEXUS Listener. Útočníkovi je poté poskytnut podrobný přehled dat včetně možností vyhledávání, filtrování a statistických přehledů.
Odcizená tajemství umožňují útočníkům provést převzetí cloudových účtů a získat přístup k databázím, platebním systémům a dalším službám, čímž se také otevírají dveře k útokům na dodavatelský řetězec. SSH klíče lze využít k laterálnímu pohybu.
Kompromitovaná data, včetně osobně identifikovatelných údajů, vystavují oběti rovněž regulatorním důsledkům plynoucím z porušení zákonů o ochraně soukromí.
Výzkumníci doporučují, aby správci systémů aplikovali bezpečnostní aktualizace pro React2Shell, provedli audit expozice dat na straně serveru a okamžitě obměnili veškerá pověření v případě podezření na kompromitaci.
Dále se doporučuje vynutit AWS IMDSv2 a nahradit veškeré opakovaně používané SSH klíče. Správci by také měli aktivovat skenování tajemství, nasadit ochrany WAF/RASP pro Next.js a prosadit princip nejmenšího oprávnění napříč kontejnery a cloudovými rolemi pro omezení dopadu.
Zdroj: bleepingcomputer.com
