해커가 자동화된 자격 증명 절도 캠페인에서 React2Shell을 악용

Source: Bleeping Computer

캠페인 개요

해커들은 취약한 Next.js 애플리케이션에서 React2Shell(CVE‑2025‑55182)을 악용한 뒤 자동화된 방식으로 자격 증명을 탈취하는 대규모 캠페인을 진행하고 있습니다.

다양한 클라우드 제공업체와 지역에 걸쳐 최소 766대의 호스트가 침해되어 데이터베이스 및 AWS 자격 증명, SSH 개인 키, API 키, 클라우드 토큰, 환경 비밀 등이 수집되었습니다.

이 작업은 NEXUS Listener라는 프레임워크를 사용하며, 자동화된 스크립트를 통해 다양한 애플리케이션에서 민감 데이터를 추출·유출합니다.

Cisco Talos는 이 활동을 UAT‑10608이라는 위협 클러스터와 연관짓고 있습니다. 연구원들은 노출된 NEXUS Listener 인스턴스에 접근해 침해된 시스템에서 수집된 데이터 유형을 분석하고 웹 애플리케이션이 어떻게 동작하는지 파악했습니다.

Nexus Listener의 메인 패널 – 출처: Cisco Talos

자동 비밀 수집

공격은 취약한 Next.js 애플리케이션을 자동으로 스캔하는 것으로 시작되며, React2Shell 취약점을 통해 침투합니다. 다단계 자격 증명 수집 루틴을 실행하는 스크립트가 표준 임시 디렉터리에 배치됩니다.

Cisco Talos 연구원에 따르면, 이 방식으로 탈취된 데이터는 다음과 같습니다:

• 환경 변수 및 비밀(예: API 키, 데이터베이스 자격 증명, GitHub/GitLab 토큰)
• SSH 키
• 클라우드 자격 증명(AWS/GCP/Azure 메타데이터, IAM 자격 증명)
• Kubernetes 토큰
• Docker/컨테이너 정보
• 명령 기록
• 프로세스 및 런타임 데이터

민감 데이터는 청크 단위로 유출되며, 각 청크는 포트 8080을 통해 HTTP 요청으로 NEXUS Listener 구성 요소가 실행 중인 C2 서버로 전송됩니다. 공격자는 검색, 필터링, 통계 인사이트 등을 포함한 상세 데이터를 확인할 수 있습니다.

“애플리케이션에는 여러 통계가 나열되어 있는데, 여기에는 침해된 호스트 수와 해당 호스트에서 성공적으로 추출된 각 자격 증명 유형의 총 개수가 포함됩니다,” 라고 Cisco Talos는 이번 주 보고서에서 말합니다.
“또한 애플리케이션 자체의 가동 시간도 표시됩니다. 이번 경우 자동화된 악용 및 수집 프레임워크는 24시간 이내에 766대의 호스트를 성공적으로 침해했습니다.”
— Cisco Talos 보고서

캠페인에서 수집된 비밀의 양 – 출처: Cisco Talos

방어 권고 사항

탈취된 비밀을 이용해 공격자는 클라우드 계정 탈취, 데이터베이스·결제 시스템 접근, 기타 서비스 이용이 가능해지며, 공급망 공격으로 이어질 수 있습니다. SSH 키는 횡방향 이동에 사용될 수 있습니다.

Cisco는 침해된 데이터에 개인 식별 정보가 포함될 경우, 프라이버시 법 위반에 따른 규제적 결과에 노출될 수 있음을 강조합니다.

권장 조치

• React2Shell에 대한 보안 업데이트를 즉시 적용합니다.
• 서버 측 데이터 노출을 감사하고, 침해가 의심될 경우 모든 자격 증명을 교체합니다.
• AWS IMDSv2를 강제하고 재사용된 SSH 키를 교체합니다.
• 비밀 스캔을 활성화하고 Next.js 애플리케이션에 WAF/RASP 보호를 배포합니다.
• 컨테이너와 클라우드 역할에 최소 권한 원칙을 적용해 영향을 제한합니다.