黑客利用 React2Shell 发起自动化凭证窃取活动

Source: Bleeping Computer

活动概览

黑客正在开展大规模活动，通过利用 React2Shell（CVE‑2025‑55182）在易受攻击的 Next.js 应用中进行自动化凭证窃取。

已确认至少有 766 台主机遍布多个云服务提供商和地区被入侵，用于收集数据库和 AWS 凭证、SSH 私钥、API 密钥、云令牌以及环境机密。

该行动使用名为 NEXUS Listener 的框架，并借助自动化脚本从各种应用中提取并外泄敏感数据。

Cisco Talos 将此活动归因于被追踪的威胁集群 UAT‑10608。研究人员获取了一个暴露的 NEXUS Listener 实例，从而分析了受感染系统收集的数据类型，并了解了该 Web 应用的工作方式。

Nexus Listener 主面板 – 来源：Cisco Talos

自动化机密收集

攻击首先对易受攻击的 Next.js 应用进行自动化扫描，并通过 React2Shell 漏洞进行入侵。随后在标准临时目录中放置一个执行多阶段凭证收集例程的脚本。

根据 Cisco Talos 研究人员的说法，通过这种方式窃取的数据包括：

• 环境变量和机密（API 密钥、数据库凭证、GitHub/GitLab 令牌）
• SSH 密钥
• 云凭证（AWS/GCP/Azure 元数据、IAM 凭证）
• Kubernetes 令牌
• Docker/容器信息
• 命令历史记录
• 进程和运行时数据

敏感数据被分块外泄，每块通过端口 8080 上的 HTTP 请求发送至运行 NEXUS Listener 组件的指挥控制（C2）服务器。攻击者能够获得数据的详细视图，包括搜索、过滤和统计洞察。

“该应用列出了多项统计信息，包括被入侵主机数量以及成功从这些主机提取的各类凭证的总数，” Cisco Talos 本周在报告中表示。
“它还列出了应用本身的运行时间。在本例中，自动化利用和收集框架在 24 小时内成功入侵了 766 台主机。”
— Cisco Talos 报告

活动中收集的机密数量 – 来源：Cisco Talos

防御建议

被盗的机密使攻击者能够进行云账户接管、访问数据库、支付系统及其他服务，并为供应链攻击打开大门。SSH 密钥可能被用于横向移动。

Cisco 强调，泄露的数据包括个人身份信息，可能导致受害者因违反隐私法而面临监管后果。

推荐措施

• 立即应用 React2Shell 的安全更新。
• 审计服务器端数据泄露情况，如有怀疑则轮换所有凭证。
• 强制使用 AWS IMDSv2 并更换所有重复使用的 SSH 密钥。
• 启用机密扫描并为 Next.js 应用部署 WAF/RASP 防护。
• 在容器和云角色中实施最小权限原则，以限制影响范围。