CVE-2025-55182
已发现一起大规模凭证窃取活动,该活动主要利用 React2Shell 漏洞作为其主要感染途径。此次攻击的目标是存在漏洞的 Next.js 应用程序,具体而言,它利用了 CVE-2025-55182 漏洞。该漏洞属于严重漏洞,CVSS 评分为 10.0,影响 React 服务器组件和 Next.js 应用路由。成功利用该漏洞可实现远程代码执行,使攻击者能够初步控制目标系统。
安全研究人员已将此次攻击活动归因于一个名为 UAT-10608 的威胁集群。该攻击活动已入侵多个地理区域和云环境中的至少 766 台主机,展现了其规模和行动范围。
目录
大规模自动化入侵:广泛且无差别的目标定位
攻击模式体现了高度自动化的侦察和利用技术。攻击者据信依赖于 Shodan、Censys 等大规模扫描工具或定制扫描器来识别易受此漏洞影响的公开 Next.js 部署。
这种不加区分的目标攻击策略能够快速识别易受攻击的系统,从而显著提高攻击的成功率和规模。
多阶段有效载荷部署:从访问到数据采集
在初步入侵之后,攻击者会部署一个投放器来安装一个名为 NEXUS Listener 的多阶段数据采集框架。该框架会协调一系列自动化脚本,旨在从受感染的系统中提取敏感数据,并将其泄露到集中式命令与控制 (C2) 基础设施。
收获过程十分广泛,并且有条不紊地进行收集:
- 环境变量和 JSON 解析的运行时配置
- SSH 私钥和 authorized_keys 文件
- Shell 命令历史记录和运行进程详情
- Kubernetes 服务帐户令牌和 Docker 容器配置
- API密钥、数据库凭证和云服务密钥
- 通过云元数据服务(AWS、Google Cloud、Microsoft Azure)检索的临时 IAM 凭证
NEXUS监听器:集中式智能与控制
该行动的核心是NEXUS监听器,这是一个受密码保护的基于Web的应用程序,托管在攻击者的C2基础设施上。该界面为操作人员提供了一个全面的图形化仪表板,用于监控和分析窃取的数据。
该平台的主要功能包括:
- 实时掌握受感染主机和被窃取凭证的情况
- 高效的数据筛选和分析搜索功能
- 汇总统计数据,详细列出凭证类型和数量
- 系统指标,例如应用程序正常运行时间和运行状态
目前观察到的版本 NEXUS Listener V3 表明其正在不断开发和完善,这表明该工具集已成熟并不断发展。
高价值机密泄露:危险的数据缓存
在某些情况下,配置错误或未经身份验证的 NEXUS Listener 面板会泄露大量敏感凭证。这些凭证包括与 Stripe 等金融服务、OpenAI、Anthropic 和 NVIDIA NIM 等人工智能平台以及 SendGrid 和 Brevo 等通信服务相关的 API 密钥。
其他泄露的资产包括 Telegram 机器人令牌、Webhook 密钥、GitHub 和 GitLab 令牌以及数据库连接字符串。如此广泛的泄露数据显著增加了下游攻击的可能性。
战略影响:绘制整个基础设施生态系统图
除了个人凭证之外,汇总数据还提供了受害者环境的详细蓝图。攻击者可以了解已部署的服务、配置模式、正在使用的云提供商以及第三方集成情况。
这种情报能够进行高度有针对性的后续行动,包括横向移动、权限提升、社会工程活动,或将访问权限转售给其他威胁行为者。
防御要务:降低风险和限制暴露
此次攻击活动的规模和深度凸显了采取主动安全措施的必要性。各组织必须优先考虑严格的环境审计和凭证管理实践,以降低风险敞口。
建议采取的措施包括:
- 在所有系统和服务中强制执行最小权限原则
采取严格的访问控制和持续监控措施,对于防御日益自动化和大规模的凭证窃取操作至关重要。
