Исследователи Cisco Talos обнаружили масштабную кампанию по автоматизированной краже учетных данных через уязвимость React2Shell (CVE-2025-55182). Всего за сутки атакующим удалось скомпрометировать 766 хостов у разных облачных провайдеров по всему миру и похитить пароли от баз данных, ключи AWS, приватные SSH-ключи, API-токены и переменные окружения.
Эксперты приписывают эту активность кластеру угроз UAT-10608. Специалистам удалось получить доступ к открытому экземпляру NEXUS Listener (фреймворк, которым пользуются атакующие), после чего они смогли изучить и сам инструмент, и данные, собранные из взломанных систем.
Схема атаки предельно автоматизирована. Сканеры ищут уязвимые приложения на Next.js, эксплуатируют React2Shell, а затем в стандартную временную директорию внедряется скрипт, который запускает многоэтапный сбор секретов.
По данным исследователей, вредонос извлекает переменные окружения и секреты (API-ключи, данные для доступа к БД, токены GitHub и GitLab), SSH-ключи, облачные учетные данные (метаданные AWS, GCP и Azure, IAM), токены Kubernetes, информацию о Docker-контейнерах, историю команд, а также данные о процессах и рантайме.
Добытые секреты отправляются на управляющий сервер частями, через HTTP-запросы на порт 8080. На стороне C2 работает упомянутый выше NEXUS Listener, который складывает полученные данные в удобную панель с поиском, фильтрами и статистикой.
«Приложение содержит статистические сводки, включая количество скомпрометированных хостов и суммарное число учетных данных каждого типа, успешно извлеченных с этих машин, — пишут в отчете Cisco Talos. — Также отображается аптайм самого приложения. В данном случае автоматизированному фреймворку эксплуатации и сбора данных удалось скомпрометировать 766 хостов за 24 часа».
В Cisco подчеркивают, что украденные секреты открывают атакующим путь к захвату облачных аккаунтов, доступ к БД и платежным системам, а также к атакам на цепочки поставок. SSH-ключи пригодятся для бокового перемещения по сети. Хуже того, утечка персональных данных грозит жертвам еще и претензиями со стороны регуляторов.
Администраторам рекомендуют как можно скорее установить патчи для React2Shell (если они еще этого не сделали), проверить данные на предмет утечек и в случае подозрений на взлом немедленно сменить все учетные данные.
Помимо этого, специалисты советуют включить AWS IMDSv2, заменить переиспользуемые SSH-ключи, настроить сканирование секретов, развернуть WAF или RASP для защиты Next.js и всегда придерживаться принципа минимальных привилегий для контейнеров и облачных ролей.
Напомним, что о самой уязвимости React2Shell (CVE-2025-55182) «Хакер» подробно рассказывал ранее — она получила максимальные 10 баллов из 10 по шкале CVSS и с декабря 2025 года активно используется как криптомайнерами и вымогателями, так и китайскими и иранскими APT-группировками.
