CVE-2025-55182

已發現一起大規模憑證竊取活動，該活動主要利用 React2Shell 漏洞作為其主要感染途徑。這次攻擊的目標是存在漏洞的 Next.js 應用程序，具體而言，它利用了 CVE-2025-55182 漏洞。此漏洞屬於嚴重漏洞，CVSS 評分為 10.0，影響 React 伺服器元件和 Next.js 應用程式路由。成功利用此漏洞可實現遠端程式碼執行，使攻擊者能夠初步控制目標系統。

安全研究人員已將此次攻擊活動歸因於一個名為 UAT-10608 的威脅群集。該攻擊活動已入侵多個地理區域和雲端環境中的至少 766 台主機，展現了其規模和行動範圍。

大規模自動化入侵：廣泛且無差異的目標定位

攻擊模式體現了高度自動化的偵察和利用技術。攻擊者據信依賴 Shodan、Censys 等大規模掃描工具或自訂掃描器來識別易受此漏洞影響的公開 Next.js 部署。

這種不加區分的目標攻擊策略能夠快速識別易受攻擊的系統，從而顯著提高攻擊的成功率和規模。

多階段有效載荷部署：從存取到資料收集

在初步入侵之後，攻擊者會部署一個投放器來安裝一個名為 NEXUS Listener 的多階段資料擷取框架。該框架協調一系列自動化腳本，旨在從受感染的系統中提取敏感數據，並將其洩漏到集中式命令與控制 (C2) 基礎設施中。

收穫過程十分廣泛，有條不紊地進行收集：

• 環境變數和 JSON 解析的執行時間配置
• SSH 私鑰和 authorized_keys 文件
• Shell 指令歷史記錄和運行進程詳情
• Kubernetes 服務帳戶令牌和 Docker 容器配置
• API金鑰、資料庫憑證和雲端服務金鑰
• 透過雲端元資料服務（AWS、Google Cloud、Microsoft Azure）檢索的臨時 IAM 憑證

NEXUS監聽器：集中式智慧與控制

該行動的核心是NEXUS監聽器，這是一個受密碼保護的基於Web的應用程序，託管在攻擊者的C2基礎設施上。該介面為操作人員提供了一個全面的圖形化儀表板，用於監控和分析竊取的數據。

該平台的主要功能包括：

• 即時掌握受感染主機和被竊取憑證的情況
• 高效率的資料篩選與分析搜尋功能
• 總結統計數據，詳細列出憑證類型和數量
• 系統指標，例如應用程式正常運行時間和運行狀態

目前觀察到的版本 NEXUS Listener V3 表明其正在不斷開發和完善，這表明該工具集已成熟並不斷發展。

高價值機密外洩：危險的資料緩存

在某些情況下，設定錯誤或未經驗證的 NEXUS Listener 面板會洩漏大量敏感憑證。這些憑證包括與 Stripe 等金融服務、OpenAI、Anthropic 和 NVIDIA NIM 等人工智慧平台以及 SendGrid 和 Brevo 等通訊服務相關的 API 金鑰。

其他洩漏的資產包括 Telegram 機器人令牌、Webhook 金鑰、GitHub 和 GitLab 令牌以及資料庫連接字串。如此廣泛的洩漏資料顯著增加了下游攻擊的可能性。

策略影響：繪製整個基礎設施生態系統圖

除了個人憑證之外，匯總數據還提供了受害者環境的詳細藍圖。攻擊者可以了解已部署的服務、配置模式、正在使用的雲端供應商以及第三方整合情況。

這種情報能夠進行高度針對性的後續行動，包括橫向移動、權限提升、社會工程活動，或將存取權限轉售給其他威脅行為者。

防禦要務：降低風險和限制暴露

這次攻擊活動的規模和深度凸顯了採取主動安全措施的必要性。各組織必須優先考慮嚴格的環境審計和憑證管理實踐，以降低風險敞口。

建議採取的措施包括：

• 在所有系統和服務中強制執行最小權限原則

採取嚴格的存取控制和持續監控措施，對於防禦日益自動化和大規模的憑證竊取操作至關重要。