Уязвимость Next.js используется для создания ботнета и скрытого майнинга

По данным аналитиков, после успешной эксплуатации уязвимости злоумышленники первым делом устанавливают обратную оболочку (reverse shell) для получения контроля над системой. Затем они загружают и исполняют дополнительные вредоносные модули (payload). В одном из изученных инцидентов атаке подверглись более 800 серверов в 26 странах всего за двое суток. Это демонстрирует высокую скорость распространения угрозы.

Эксперты выделили два основных сценария атак. В первом случае злоумышленники используют уязвимость для развертывания инструментов удаленного управления и создания скрытых прокси-серверов. После получения доступа к системе загружается скрипт "update.sh", который, в свою очередь, запускает "ninstall.sh". Этот скрипт проверяет наличие необходимых утилит в системе и в зависимости от географического расположения жертвы загружает агента для панели управления Nezha либо с GitHub, либо с китайского аналога Gitee.

Агент подключается к управляющему серверу злоумышленников по домену "dashboard.checkstauts.site", зарегистрированному 5 декабря 2025 года. Согласно данным панели Nezha, в ботнет было вовлечено более 800 серверов, из которых на момент анализа 521 оставались в сети. Далее атака развивается по сценарию установки прокси-инструментария sing-box. Сконфигурированный прокси-сервер затем используется для скрытия дальнейшей активности, а его параметры автоматически отправляются в Telegram-бота, контролируемого злоумышленниками.

Второй распространенный сценарий эксплуатации CVE-2025-55182 более прямолинеен и нацелен на финансовую выгоду. В этом случае после получения доступа к системе с удаленного сервера загружается архив "runnv.tar.gz", содержащий конфигурационные файлы и исполняемые модули для скрытого майнинга криптовалюты. Таким образом, вычислительные ресурсы зараженных серверов незаконно используются для генерации дохода атакующей стороной.

Сложность ситуации для компаний усугубляется тем, что Next.js часто встроен в множество других веб-фреймворков и платформ. Официальные предупреждения об уязвимости содержат информацию только о версиях самого Next.js. Следовательно, ИТ-специалистам приходится вручную проверять все используемые в инфраструктуре продукты на предмет наличия уязвимого компонента. Эта задача требует значительных временных и трудовых затрат.

Для эффективного противодействия подобным угрозам необходима многоуровневая защита. Своевременное обновление Next.js до версии, в которой уязвимость CVE-2025-55182 устранена, является первоочередной мерой. Также критически важны мониторинг сетевой активности на предмет аномальных исходящих соединений, анализ журналов веб-серверов на наличие попыток эксплуатации и применение систем обнаружения вторжений (IDS).

По заявлению Qi An Xin, их продукты для обеспечения безопасности, включая платформу угрозой разведки (TIP), а также системы NGSOC (Next-Generation Security Operations Center) и расширенного обнаружения угроз, уже получили сигнатуры и правила для точного выявления атак, связанных с данной уязвимостью. Эксперты рекомендуют организациям, использующим Next.js или продукты на его основе, немедленно приступить к аудиту и обновлению своих систем, чтобы минимизировать риск масштабного компрометирования.

IPv4 Port Combinations

• 106.15.124.100:6666
• 128.199.194.97:9001
• 154.89.152.151:9200
• 154.89.152.168:9200
• 154.89.152.170:9200
• 154.89.152.247:9200
• 171.252.32.135:7700
• 38.246.244.223:12233
• 65.49.236.227:6666
• 66.154.106.246:50317
• 66.154.106.246:8088
• 8.155.144.158:8892

Domain Port Combinations

• clearskyspark.top:9200
• dashboard.checkstauts.site:443
• deepcloudspark.top:9200
• greenhillmatrix.top:9200
• silentmountcode.top:9200

MD5

• df0ca249bb8a033a616742a59f732906