脅威行為者は脆弱なNext.jsアプリケーションを悪用して、大規模なシステム侵害と認証情報の窃取を行っている、とシスコのTalosセキュリティ研究者が警告しています。
UAT-10608として追跡されているこの脅威行為者は、自動スキャンに依存して、CVE-2025-55182(CVSS スコア10)の影響を受けるアプリケーションを特定しています。これは、認証されていないリモート攻撃者が任意のコードを実行できる重大なReact脆弱性であり、サイバーセキュリティコミュニティではReact2Shellとして追跡されています。
初期アクセスの後、攻撃者は自動スクリプトとNexus Listenerフレームワークを活用して、大規模な認証情報、クラウドトークン、SSHキー、環境シークレットを収集します。
Talosによると、少なくとも766のシステムが侵害されており、このキャンペーンの一環として10,000以上のファイルが収集されています。
「被害者セットの広さと無差別な標的化パターンは自動スキャンと一致しており、ShodanやCensysなどのサービスからのホストプロファイルデータやカスタムスキャナーに基づいている可能性があります。これらは公開されているNext.js展開を列挙し、説明されているReact構成脆弱性をプローブします。」とTalosは指摘しています。
UAT-10608は、React2Shellに対して脆弱な公開ウェブアプリケーションを標的にし、HTTPリクエスト経由で細工されたペイロードを配信し、サーバー側のNode.jsプロセスで任意のコードを実行しています。
攻撃者は多段階のデータ収集用の自動スクリプトに依存し、実行中のプロセス、JavaScriptランタイム、SSH、シェルコマンド履歴、トークン、クラウドメタデータAPI、Kubernetesサービスアカウント、コンテナ設定、および実行中のプロセスコマンドラインを反復処理します。
窃取されたデータは、攻撃者のコマンド&コントロール(C&C)サーバーに送信され、Nexus Listenerウェブアプリケーションでアクセス可能になります。
Talosは、公開されたNexus Listenerインスタンスを特定し、アプリケーションの内部動作と窃取されたデータを確認することができました。このインスタンスは、24時間以内に766ホストの侵害に成功したことを明らかにしました。
盗まれた情報には、AIプラットフォーム、決済処理業者、AWS、コミュニケーションプラットフォーム用のキーが含まれており、GitHubトークン、データベース接続シークレット、認証トークン、パスワードなども含まれています。
SSHプライベートキー、クラウド認証情報、Kubernetesサービスアカウントトークン、Dockerコンテナ変数、およびシェルコマンド履歴ファイルも、公開されたNexus Listenerインスタンスで発見されました。
データセット内の公開されているすべての認証情報、キー、トークン、シークレットは侵害されたものと見なされるべきであり、サプライチェーン攻撃、横展開、コンプライアンス問題を含むさらなる侵害につながる可能性があるため、ローテーションする必要があります。
翻訳元: https://www.securityweek.com/react2shell-exploited-in-large-scale-credential-harvesting-campaign/
