CVE-2025-55182
Isang malawakang kampanya sa pangangalap ng kredensyal ang natukoy na gumagamit ng kahinaan ng React2Shell bilang pangunahing sanhi ng impeksyon. Tinatarget ng operasyong ito ang mga mahihinang aplikasyon ng Next.js, partikular na ang paggamit sa CVE-2025-55182, isang kritikal na depekto na may markang CVSS na 10.0 na nakakaapekto sa mga React Server Component at sa Next.js App Router. Ang matagumpay na paggamit ay nagbibigay-daan sa malayuang pagpapatupad ng code, na nagpapahintulot sa mga umaatake na magkaroon ng panimulang posisyon sa loob ng mga naka-target na sistema.
Iniugnay ng mga mananaliksik sa seguridad ang aktibidad na ito sa isang kumpol ng banta na sinusubaybayan bilang UAT-10608. Nakompromiso na ng kampanya ang hindi bababa sa 766 na host sa iba't ibang rehiyong heograpikal at mga kapaligirang cloud, na nagpapakita ng parehong lawak at abot ng operasyon.
Talaan ng mga Nilalaman
Awtomatikong Panghihimasok sa Malawakan: Malawak at Walang-Pinihirang Pag-target
Ang pattern ng pag-atake ay sumasalamin sa mga lubos na awtomatikong pamamaraan ng pagmamanman at pagsasamantala. Pinaniniwalaang umaasa ang mga aktor ng banta sa malawakang mga tool sa pag-scan tulad ng Shodan, Censys, o mga custom-built scanner upang matukoy ang mga pampublikong nakalantad na pag-deploy ng Next.js na madaling kapitan ng kahinaan.
Ang walang pinipiling estratehiya sa pag-target na ito ay nagbibigay-daan sa mabilis na pagtukoy sa mga mahihinang sistema, na lubos na nagpapataas ng antas ng tagumpay at laki ng kompromiso.
Pag-deploy ng Payload sa Maraming Yugto: Mula sa Pag-access hanggang sa Pagkuha ng Data
Kasunod ng unang kompromiso, isang dropper ang inilunsad upang mag-install ng isang multi-phase harvesting framework na kilala bilang NEXUS Listener. Ang framework na ito ay nag-oorganisa ng mga automated script na idinisenyo upang kumuha ng sensitibong data mula sa mga nahawaang sistema at i-exfiltrate ito sa isang sentralisadong Command-and-Control (C2) infrastructure.
Malawak ang proseso ng pag-aani at sistematikong kinokolekta ang:
- Mga variable ng kapaligiran at mga configuration ng runtime na na-parse ng JSON
- Mga pribadong key ng SSH at mga file na authorized_key
- Mga kasaysayan ng utos ng Shell at mga detalye ng proseso ng pagpapatakbo
- Mga token ng account sa serbisyo ng Kubernetes at mga configuration ng Docker container
- Mga API key, kredensyal sa database, at mga sikreto ng serbisyo sa cloud
- Nakuha ang mga pansamantalang kredensyal ng IAM sa pamamagitan ng mga serbisyo ng metadata ng cloud (AWS, Google Cloud, Microsoft Azure)
Tagapakinig ng NEXUS: Sentralisadong Katalinuhan at Kontrol
Ang sentro ng operasyon ay ang NEXUS Listener, isang web-based application na protektado ng password na naka-host sa C2 infrastructure ng mga umaatake. Ang interface na ito ay nagbibigay sa mga operator ng komprehensibong graphical dashboard upang masubaybayan at masuri ang ninakaw na data.
Ang mga pangunahing kakayahan ng plataporma ay kinabibilangan ng:
- Real-time na kakayahang makita ang mga nakompromisong host at mga na-harvest na kredensyal
- Paghahanap para sa mahusay na pagsala at pagsusuri ng datos
- Mga pinagsama-samang istatistika na nagdedetalye ng mga uri at dami ng kredensyal
- Mga sukatan ng sistema tulad ng uptime ng aplikasyon at katayuan ng pagpapatakbo
Ang kasalukuyang naoobserbahang bersyon, ang NEXUS Listener V3, ay nagpapahiwatig ng patuloy na pag-unlad at pagpipino, na nagmumungkahi ng isang ganap at umuunlad na hanay ng mga kagamitan.
Pagbubunyag ng mga Lihim na May Halaga: Isang Mapanganib na Data Cache
Sa ilang mga pagkakataon, ang mga maling pagkakaayos o hindi awtorisadong NEXUS Listener panel ay naglantad ng malawak na hanay ng mga sensitibong kredensyal. Kabilang dito ang mga API key na nakatali sa mga serbisyong pinansyal tulad ng Stripe, mga platform ng artificial intelligence tulad ng OpenAI, Anthropic, at NVIDIA NIM, pati na rin ang mga serbisyo sa komunikasyon kabilang ang SendGrid at Brevo.
Kabilang sa mga karagdagang nakalantad na asset ang mga Telegram bot token, mga sikreto ng webhook, mga token ng GitHub at GitLab, at mga string ng koneksyon sa database. Ang lawak ng nakompromisong data na ito ay lubos na nagpapalakas sa potensyal para sa mga downstream na pag-atake.
Estratehikong Epekto: Pagmamapa ng Buong Ekosistema ng Imprastraktura
Higit pa sa mga indibidwal na kredensyal, ang pinagsama-samang datos ay nagbibigay ng detalyadong blueprint ng mga kapaligiran ng biktima. Nakikita ng mga umaatake ang mga naka-deploy na serbisyo, mga pattern ng configuration, mga cloud provider na ginagamit, at mga integrasyon ng third-party.
Ang ganitong katalinuhan ay nagbibigay-daan sa mga lubos na naka-target na follow-on na operasyon, kabilang ang lateral movement, privilege escalation, mga kampanya sa social engineering, o ang muling pagbebenta ng access sa iba pang mga aktor ng banta.
Mga Depensibong Imperative: Pagbabawas ng Panganib at Paglilimita sa Pagkakalantad
Ang laki at lalim ng kampanyang ito ay nagbibigay-diin sa pangangailangan para sa mga proaktibong hakbang sa seguridad. Dapat unahin ng mga organisasyon ang mahigpit na pag-awdit sa kapaligiran at mga kasanayan sa pamamahala ng kredensyal upang mabawasan ang pagkakalantad.
Kabilang sa mga inirerekomendang aksyon ang:
- Pagpapatupad ng prinsipyo ng pinakamababang pribilehiyo sa lahat ng sistema at serbisyo
Ang isang disiplinadong diskarte sa pagkontrol ng access at patuloy na pagsubaybay ay mahalaga upang ipagtanggol laban sa lalong awtomatiko at malawakang operasyon ng pagkuha ng kredensyal.
