CVE-2025-55182

React2Shell जोखिमलाई यसको प्राथमिक संक्रमण भेक्टरको रूपमा प्रयोग गर्दै ठूलो स्तरको क्रेडेन्सियल-हार्वेस्टिङ अभियान पहिचान गरिएको छ। यो अपरेशनले कमजोर Next.js अनुप्रयोगहरूलाई लक्षित गर्दछ, विशेष गरी CVE-2025-55182 को शोषण गर्दछ, जुन React Server Components र Next.js एप राउटरलाई असर गर्ने १०.० को CVSS स्कोर भएको एक महत्वपूर्ण त्रुटि हो। सफल शोषणले रिमोट कोड कार्यान्वयनलाई सक्षम बनाउँछ, जसले आक्रमणकारीहरूलाई लक्षित प्रणालीहरू भित्र प्रारम्भिक स्थान प्राप्त गर्न अनुमति दिन्छ।

सुरक्षा अनुसन्धानकर्ताहरूले यो गतिविधिलाई UAT-10608 को रूपमा ट्र्याक गरिएको खतरा क्लस्टरलाई श्रेय दिएका छन्। अभियानले पहिले नै धेरै भौगोलिक क्षेत्रहरू र क्लाउड वातावरणहरूमा कम्तिमा ७६६ होस्टहरूलाई सम्झौता गरिसकेको छ, जसले स्केल र सञ्चालन पहुँच दुवै प्रदर्शन गर्दछ।

स्वचालित घुसपैठ: व्यापक र अन्धाधुन्ध लक्ष्यीकरण

आक्रमणको ढाँचाले अत्यधिक स्वचालित जासूसी र शोषण प्रविधिहरू प्रतिबिम्बित गर्दछ। खतरा अभिनेताहरू सार्वजनिक रूपमा खुलासा गरिएका Next.js डिप्लोयमेन्टहरू जोखिमको लागि संवेदनशील पहिचान गर्न Shodan, Censys, वा अनुकूलित-निर्मित स्क्यानरहरू जस्ता ठूला-स्तरीय स्क्यानिङ उपकरणहरूमा भर पर्ने विश्वास गरिन्छ।

यो अन्धाधुन्ध लक्षित रणनीतिले कमजोर प्रणालीहरूको द्रुत पहिचानलाई सक्षम बनाउँछ, जसले गर्दा सफलता दर र सम्झौताको मात्रामा उल्लेखनीय वृद्धि हुन्छ।

बहु-चरण पेलोड तैनाती: पहुँच देखि डेटा संकलन सम्म

प्रारम्भिक सम्झौता पछि, NEXUS Listener भनेर चिनिने बहु-चरण कटाई फ्रेमवर्क स्थापना गर्न ड्रपर तैनाथ गरिन्छ। यो फ्रेमवर्कले संक्रमित प्रणालीहरूबाट संवेदनशील डेटा निकाल्न र यसलाई केन्द्रीकृत कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधारमा एक्सफिल्टरेट गर्न डिजाइन गरिएको स्वचालित स्क्रिप्टहरू व्यवस्थित गर्दछ।

कटनी प्रक्रिया व्यापक छ र व्यवस्थित रूपमा सङ्कलन गर्दछ:

• वातावरण चर र JSON-पार्स गरिएको रनटाइम कन्फिगरेसनहरू
• SSH निजी कुञ्जीहरू र अधिकृत_कुञ्जीहरू फाइलहरू
• शेल कमाण्ड इतिहास र चलिरहेको प्रक्रिया विवरणहरू
• कुबर्नेट्स सेवा खाता टोकनहरू र डकर कन्टेनर कन्फिगरेसनहरू
• API कुञ्जीहरू, डाटाबेस प्रमाणहरू, र क्लाउड सेवा गोप्यहरू
• क्लाउड मेटाडेटा सेवाहरू (AWS, गुगल क्लाउड, माइक्रोसफ्ट एज्युर) मार्फत प्राप्त गरिएको अस्थायी IAM प्रमाणपत्रहरू

नेक्सस श्रोता: केन्द्रीकृत बुद्धिमत्ता र नियन्त्रण

यस अपरेशनको मूल भागमा NEXUS Listener छ, जुन आक्रमणकारीहरूको C2 पूर्वाधारमा होस्ट गरिएको पासवर्ड-सुरक्षित वेब-आधारित अनुप्रयोग हो। यो इन्टरफेसले अपरेटरहरूलाई चोरी भएको डेटाको निगरानी र विश्लेषण गर्न एक व्यापक ग्राफिकल ड्यासबोर्ड प्रदान गर्दछ।

प्लेटफर्मको प्रमुख क्षमताहरू समावेश छन्:

• सम्झौता गरिएका होस्टहरू र कटाई गरिएका प्रमाणहरूमा वास्तविक-समय दृश्यता
• कुशल डेटा फिल्टरिङ र विश्लेषणको लागि खोज कार्यक्षमता
• प्रमाणपत्रका प्रकार र मात्राहरूको विवरण दिने एकत्रित तथ्याङ्कहरू
• अनुप्रयोग अपटाइम र सञ्चालन स्थिति जस्ता प्रणाली मेट्रिक्स

हाल अवलोकन गरिएको संस्करण, NEXUS Listener V3 ले निरन्तर विकास र परिष्करणलाई संकेत गर्दछ, जसले परिपक्व र विकसित हुँदै गइरहेको उपकरणसेटको सुझाव दिन्छ।

उच्च-मूल्य गोप्य कुराहरूको पर्दाफास: एक खतरनाक डेटा क्यास

केही उदाहरणहरूमा, गलत कन्फिगर गरिएको वा अप्रमाणित NEXUS Lisneer प्यानलहरूले संवेदनशील प्रमाणहरूको विस्तृत श्रृंखला उजागर गरेका छन्। यसमा Stripe जस्ता वित्तीय सेवाहरूसँग सम्बन्धित API कुञ्जीहरू, OpenAI, Anthropic, र NVIDIA NIM जस्ता कृत्रिम बुद्धिमत्ता प्लेटफर्महरू, साथै SendGrid र Brevo लगायतका सञ्चार सेवाहरू समावेश छन्।

थप खुला सम्पत्तिहरूमा टेलिग्राम बट टोकनहरू, वेबहुक गोप्यहरू, GitHub र GitLab टोकनहरू, र डाटाबेस जडान स्ट्रिङहरू समावेश छन्। सम्झौता गरिएको डेटाको यो चौडाइले डाउनस्ट्रीम आक्रमणहरूको सम्भावनालाई उल्लेखनीय रूपमा बढाउँछ।

रणनीतिक प्रभाव: सम्पूर्ण पूर्वाधार पारिस्थितिक प्रणालीको नक्साङ्कन

व्यक्तिगत प्रमाणहरूभन्दा बाहिर, समग्र डेटाले पीडित वातावरणको विस्तृत खाका प्रदान गर्दछ। आक्रमणकारीहरूले तैनाथ सेवाहरू, कन्फिगरेसन ढाँचाहरू, प्रयोगमा रहेका क्लाउड प्रदायकहरू, र तेस्रो-पक्ष एकीकरणहरूमा दृश्यता प्राप्त गर्छन्।

यस्तो गुप्तचरले उच्च लक्षित फलो-अन अपरेशनहरूलाई सक्षम बनाउँछ, जसमा पार्श्व आन्दोलन, विशेषाधिकार वृद्धि, सामाजिक इन्जिनियरिङ अभियानहरू, वा अन्य खतरा कारकहरूमा पहुँचको पुन: बिक्री समावेश छ।

रक्षात्मक अनिवार्यताहरू: जोखिम न्यूनीकरण र जोखिम सीमित गर्ने

यस अभियानको स्केल र गहिराइले सक्रिय सुरक्षा उपायहरूको आवश्यकतालाई जोड दिन्छ। संस्थाहरूले जोखिम कम गर्न कठोर वातावरणीय लेखा परीक्षण र प्रमाण व्यवस्थापन अभ्यासहरूलाई प्राथमिकता दिनुपर्छ।

सिफारिस गरिएका कार्यहरू समावेश छन्:

• सबै प्रणाली र सेवाहरूमा न्यूनतम विशेषाधिकारको सिद्धान्त लागू गर्ने

• खुला प्रमाणहरू पत्ता लगाउन स्वचालित गोप्य स्क्यानिङ सक्षम पार्दै

• वातावरणहरूमा SSH कुञ्जी जोडीहरूको पुन: प्रयोगबाट बच्न

• मेटाडेटा पहुँच सुरक्षित गर्न सबै AWS EC2 उदाहरणहरूमा IMDSv2 लागू गर्दै

• सम्झौता भएको शंका लागेमा तुरुन्तै सबै प्रमाणपत्रहरू घुमाउने

बढ्दो स्वचालित र ठूला स्तरका प्रमाण संकलन कार्यहरूबाट बचाउन पहुँच नियन्त्रण र निरन्तर अनुगमनको लागि अनुशासित दृष्टिकोण आवश्यक छ।