Хакеры проводят масштабную кампанию по автоматизированному хищению учетных данных после использования уязвимости React2Shell (CVE-2025-55182) в уязвимых приложениях Next.js.
По меньшей мере 766 хостов в различных облачных провайдерах и географических регионах были скомпрометированы для сбора учетных данных баз данных и AWS, приватных SSH-ключей, API-ключей, облачных токенов и секретов окружения.
Операция использует фреймворк под названием NEXUS Listener и задействует автоматизированные скрипты для извлечения и эксфильтрации конфиденциальных данных из различных приложений.
Cisco Talos связывает эту активность с кластером угроз, отслеживаемым как UAT-10608. Исследователям удалось получить доступ к незащищенному экземпляру NEXUS Listener, что позволило им проанализировать тип данных, собранных с скомпрометированных систем, и понять принципы работы веб-приложения.
Автоматизированный сбор секретов
Атака начинается с автоматизированного сканирования уязвимых приложений Next.js, которые взламываются через уязвимость React2Shell. В стандартную временную директорию помещается скрипт, который выполняет многоэтапную процедуру сбора учетных данных.
По данным исследователей Cisco Talos, данные, похищенные таким образом, включают:
- Переменные окружения и секреты (API-ключи, учетные данные баз данных, токены GitHub/GitLab)
- SSH-ключи
- Облачные учетные данные (метаданные AWS/GCP/Azure, учетные данные IAM)
- Токены Kubernetes
- Информация о Docker/контейнерах
- История команд
- Данные процессов и времени выполнения
Конфиденциальные данные эксфильтруются порциями, каждая из которых отправляется HTTP-запросом по порту 8080 на сервер управления и контроля (C2), на котором работает компонент NEXUS Listener. Злоумышленнику затем предоставляется подробное представление данных, включая возможности поиска, фильтрации и статистический анализ.
«Приложение содержит перечень различных статистических данных, включая количество скомпрометированных хостов и общее количество каждого типа учетных данных, успешно извлеченных с этих хостов», — говорится в отчете Cisco Talos на этой неделе.
«Оно также отображает время безотказной работы самого приложения. В данном случае, фреймворк автоматизированной эксплуатации и сбора данных смог успешно скомпрометировать 766 хостов в течение 24-часового периода».
Рекомендации по защите
Похищенные секреты позволяют злоумышленникам захватывать облачные аккаунты и получать доступ к базам данных, платежным системам и другим сервисам, а также открывают путь для атак на цепочку поставок. SSH-ключи могут быть использованы для латерального перемещения.
Cisco подчеркивает, что скомпрометированные данные, включая персональные сведения, также подвергают жертв регуляторным последствиям из-за нарушений законов о конфиденциальности.
Исследователи рекомендуют системным администраторам применить обновления безопасности для React2Shell, провести аудит раскрытия данных на стороне сервера и немедленно сменить все учетные данные при подозрении на компрометацию.
Также рекомендуется активировать IMDSv2 для AWS и заменить любые повторно используемые SSH-ключи. Следует также включить сканирование секретов, развернуть защиту WAF/RASP для Next.js и обеспечить принцип наименьших привилегий для контейнеров и облачных ролей, чтобы ограничить ущерб.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
