Крупномасштабная автоматизированная кампания по краже учётных данных нацелилась на уязвимые веб-приложения Next.js

В центре кампании лежит эксплуатация уязвимости, известной как React2Shell и зарегистрированной под идентификатором CVE-2025-55182. Эта проблема позволяет выполнить произвольный код на сервере без необходимости аутентификации. Уязвимость существует в механизме React Server Components (RSC), где десериализация данных, поступающих от клиентов, происходит без должной проверки. Злоумышленники сканируют интернет в поисках публично доступных приложений, построенных на Next.js с уязвимыми версиями компонентов. Обнаружив такую цель, автоматизированный инструментарий отправляет специально сформированный вредоносный запрос, который приводит к выполнению кода в серверном процессе Node.js. Этот этап не требует ручного вмешательства, что позволяет проводить атаки в огромных масштабах.

После успешного проникновения на систему запускается многоэтапный сборщик данных. Он выполняется в фоновом режиме через сценарий в директории "/tmp" и последовательно извлекает широкий спектр информации. Скрипт собирает переменные окружения запущенных процессов, что часто приводит к утечке API-ключей и паролей приложений. Отдельно анализируется среда выполнения JavaScript для поиска конфиденциальных конфигураций. На этапе "ssh" происходит кража приватных ключей SSH и файлов "authorized_keys", что открывает путь для перемещения внутри сети. Модуль "tokens" ищет по шаблонам строки, похожие на учётные данные. Также собирается история команд оболочки, которая может раскрыть административные действия и другие чувствительные данные.

Особую опасность представляют этапы, нацеленные на облачную инфраструктуру. Скрипт опрашивает сервисы метаданных AWS, Google Cloud Platform и Azure (IMDS) в попытке получить временные учётные данные IAM-ролей, назначенных виртуальной машине. В контейнеризированных средах он пытается извлечь токены сервисных аккаунтов Kubernetes, что может привести к компрометации всего кластера. Для хостов с Docker перечисляются все запущенные контейнеры, их конфигурации и переменные окружения, что даёт злоумышленнику детальную карту внутренних сервисов, таких как панели администрирования базами данных или системы автоматизации.

Собранные данные эксфильтрируются на управляющий сервер, где они становятся доступны операторам через веб-интерфейс под названием "NEXUS Listener". Эта панель управления, по данным исследователей Cisco Talos, представляет собой полноценное веб-приложение с функциями аналитики. Оно отображает сводную статистику по всем скомпрометированным хостам и типам украденных данных, а также позволяет детально изучать информацию с каждой конкретной машины. В одном из случаев эта панель была оставлена без пароля, что позволило экспертам получить полное представление о масштабах операции. Согласно отчёту исследователей, за 24 часа работы система автоматически скомпрометировала не менее 766 хостов, распределённых по разным географическим регионам и облачным провайдерам.

Анализ раскрытых данных демонстрирует катастрофические последствия для жертв. Более чем в 90% случаев были похищены учётные данные для баз данных, включая строки подключения с открытыми паролями, что напрямую ведёт к утечке персональных и финансовых данных пользователей. Частные SSH-ключи, найденные на 78% хостов, создают долгосрочную угрозу для внутренней сети, позволяя злоумышленнику перемещаться даже после закрытия первоначальной уязвимости. Были обнаружены живые секретные ключи платежной системы Stripe, токены доступа к GitHub, а также ключи API для различных AI-платформ и сервисов коммуникации. Каждый такой credential следует считать полностью скомпрометированным и способным привести к финансовым потерям, утечке интеллектуальной собственности или репутационному ущербу.

Косвенные риски также чрезвычайно высоки. Агрегированные данные представляют собой детальную карту ИТ-ландшафта организаций-жертв: используемые облачные провайдеры, конфигурации сервисов, внутренние инструменты. Эта информация имеет большую ценность для планирования целевых атак второго этапа или может быть продана другим группировкам. Обнаружение токенов для реестров пакетов, таких как npm, создаёт угрозу цепочке поставок, позволяя публиковать вредоносные обновления от имени легитимных maintainers. Для компаний, работающих с персональными данными европейских пользователей, подобный инцидент означает необходимость уведомления регуляторов в соответствии с требованиями GDPR.

В свете этой угрозы специалистам по безопасности настоятельно рекомендуется предпринять ряд действий. В первую очередь необходимо провести аудит всех публично доступных приложений на Next.js и убедиться в установке актуальных патчей, устраняющих CVE-2025-55182. Требуется пересмотреть практики управления секретами: исключить передачу критических переменных окружения клиентским компонентам и строго соблюдать дисциплину использования префикса "NEXT_PUBLIC_". Все учётные данные, которые потенциально могли быть затронуты, подлежат немедленной ротации. В облачных средах AWS следует включить и сделать обязательным IMDSv2 для защиты сервиса метаданных. Крайне важно отказаться от практики повторного использования SSH-ключей на разных системах и задействовать встроенные инструменты сканирования на наличие секретов, которые предлагают GitHub и крупные облачные провайдеры. Данная кампания наглядно показывает, как одна неустранённая уязвимость в популярном фреймворке может стать отправной точкой для тотальной компрометации цифровой инфраструктуры организации.

IPv4

• 144.172.102.88
• 144.172.112.136
• 144.172.117.112
• 172.86.127.128