CVE-2025-55182
تم رصد حملة واسعة النطاق لسرقة بيانات الاعتماد، تستغل ثغرة React2Shell كأداة رئيسية للاختراق. تستهدف هذه العملية تطبيقات Next.js المعرضة للخطر، وتحديدًا الثغرة CVE-2025-55182، وهي ثغرة خطيرة بدرجة خطورة 10.0 وفقًا لمعيار CVSS، وتؤثر على مكونات خادم React وموجه تطبيقات Next.js. يُمكّن استغلال هذه الثغرة بنجاح من تنفيذ التعليمات البرمجية عن بُعد، مما يسمح للمهاجمين بالسيطرة على الأنظمة المستهدفة.
وقد عزا باحثو الأمن هذا النشاط إلى مجموعة تهديدات يتم تتبعها تحت اسم UAT-10608. وقد اخترقت الحملة بالفعل ما لا يقل عن 766 مضيفًا عبر مناطق جغرافية متعددة وبيئات سحابية، مما يدل على نطاقها ونطاق عملياتها.
جدول المحتويات
الاختراق الآلي على نطاق واسع: استهداف واسع النطاق وعشوائي
يعكس نمط الهجوم أساليب استطلاع واستغلال آلية للغاية. ويُعتقد أن الجهات المهاجمة تعتمد على أدوات مسح واسعة النطاق مثل Shodan وCensys، أو أدوات مسح مصممة خصيصًا، لتحديد تطبيقات Next.js المكشوفة المعرضة لهذه الثغرة الأمنية.
تتيح استراتيجية الاستهداف العشوائي هذه تحديد الأنظمة الضعيفة بسرعة، مما يزيد بشكل كبير من معدل النجاح ونطاق الاختراق.
نشر الحمولة متعددة المراحل: من الوصول إلى جمع البيانات
بعد الاختراق الأولي، يتم نشر برنامج خبيث لتثبيت إطار عمل متعدد المراحل لجمع البيانات يُعرف باسم NEXUS Listener. يقوم هذا الإطار بتنسيق البرامج النصية الآلية المصممة لاستخراج البيانات الحساسة من الأنظمة المصابة ونقلها إلى بنية تحتية مركزية للتحكم والسيطرة.
عملية الحصاد واسعة النطاق وتجمع بشكل منهجي:
- متغيرات البيئة وتكوينات وقت التشغيل التي تم تحليلها بصيغة JSON
- ملفات المفاتيح الخاصة بـ SSH وملفات المفاتيح المعتمدة
- سجلات أوامر الصدفة وتفاصيل العمليات الجارية
- رموز حساب خدمة Kubernetes وتكوينات حاويات Docker
- مفاتيح واجهة برمجة التطبيقات، وبيانات اعتماد قاعدة البيانات، وأسرار خدمة الحوسبة السحابية
- بيانات اعتماد إدارة الهوية والوصول المؤقتة التي يتم استردادها عبر خدمات البيانات الوصفية السحابية (AWS، Google Cloud، Microsoft Azure)
مستمع NEXUS: الاستخبارات والتحكم المركزيان
يُعدّ برنامج NEXUS Listener جوهر العملية، وهو تطبيق ويب محمي بكلمة مرور مُستضاف على بنية التحكم والسيطرة الخاصة بالمهاجمين. توفر هذه الواجهة للمشغلين لوحة تحكم رسومية شاملة لمراقبة وتحليل البيانات المسروقة.
تشمل القدرات الرئيسية للمنصة ما يلي:
- رؤية فورية للأجهزة المخترقة وبيانات الاعتماد التي تم جمعها
- وظيفة البحث لتصفية البيانات وتحليلها بكفاءة
- إحصائيات مجمعة توضح أنواع وأحجام بيانات الاعتماد
- مقاييس النظام مثل وقت تشغيل التطبيق والحالة التشغيلية
يشير الإصدار الحالي الملاحظ، NEXUS Listener V3، إلى التطوير والتحسين المستمر، مما يوحي بمجموعة أدوات ناضجة ومتطورة.
كشف أسرار بالغة الأهمية: مخبأ بيانات خطير
في بعض الحالات، كشفت لوحات NEXUS Listener غير المُهيأة بشكل صحيح أو غير المُصادق عليها عن مجموعة واسعة من بيانات الاعتماد الحساسة. وتشمل هذه البيانات مفاتيح واجهة برمجة التطبيقات (API) المرتبطة بخدمات مالية مثل Stripe، ومنصات الذكاء الاصطناعي مثل OpenAI وAnthropic وNVIDIA NIM، بالإضافة إلى خدمات الاتصالات مثل SendGrid وBrevo.
تشمل الأصول الأخرى المكشوفة رموز بوتات تيليجرام، وأسرار روابط الويب، ورموز جيت هاب وجيت لاب، وسلاسل اتصال قواعد البيانات. هذا الكم الهائل من البيانات المخترقة يزيد بشكل كبير من احتمالية وقوع هجمات لاحقة.
الأثر الاستراتيجي: رسم خرائط النظم الإيكولوجية للبنية التحتية بأكملها
بالإضافة إلى بيانات الاعتماد الفردية، توفر البيانات المجمعة مخططًا تفصيليًا لبيئات الضحايا. ويتمكن المهاجمون من رؤية الخدمات المنشورة، وأنماط التكوين، ومزودي الخدمات السحابية المستخدمين، وعمليات التكامل مع جهات خارجية.
تتيح هذه المعلومات الاستخباراتية عمليات متابعة شديدة الاستهداف، بما في ذلك الحركة الجانبية، وتصعيد الامتيازات، وحملات الهندسة الاجتماعية، أو إعادة بيع الوصول إلى جهات فاعلة تهديدية أخرى.
الضرورات الدفاعية: تخفيف المخاطر والحد من التعرض لها
يؤكد حجم هذه الحملة وعمقها على ضرورة اتخاذ تدابير أمنية استباقية. يجب على المؤسسات إعطاء الأولوية لعمليات التدقيق البيئي الصارمة وممارسات إدارة بيانات الاعتماد للحد من المخاطر.
تشمل الإجراءات الموصى بها ما يلي:
- تطبيق مبدأ أقل الامتيازات في جميع الأنظمة والخدمات
يُعد اتباع نهج منضبط للتحكم في الوصول والمراقبة المستمرة أمرًا ضروريًا للدفاع ضد عمليات جمع بيانات الاعتماد الآلية والواسعة النطاق بشكل متزايد.
