ハッカーは脆弱なNext.jsアプリケーションでReact2Shell(CVE-2025-55182)を悪用した後、自動化された方法で認証情報を盗むための大規模なキャンペーンを展開しています。React2Shell。
様々なクラウドプロバイダーと地理的位置にわたる少なくとも766ホストが侵害され、データベースとAWS認証情報、SSHプライベートキー、APIキー、クラウドトークン、環境シークレットを収集しています。
このオペレーションは「NEXUS Listener」という名前のフレームワークを使用し、様々なアプリケーションから機密データを抽出・窃取するための自動スクリプトを活用しています。
Cisco Talosはこの活動をUAT-10608として追跡されている脅威クラスターに帰属させています。研究者らは公開されているNEXUS Listenerインスタンスへのアクセスを取得し、侵害されたシステムから収集されたデータの種類を分析し、ウェブアプリケーションがどのように動作するかを理解することができました。
自動化されたシークレット収集
攻撃は脆弱なNext.jsアプリケーションの自動スキャンで始まり、React2Shell脆弱性を介して侵害されます。複数フェーズの認証情報収集ルーチンを実行するスクリプトが標準的な一時ディレクトリに配置されます。
- 環境変数とシークレット(APIキー、データベース認証情報、GitHub/GitLabトークン)
- SSHキー
- クラウド認証情報(AWS/GCP/Azureメタデータ、IAM認証情報)
- Kubernetesトークン
- Docker/コンテナ情報
- コマンド履歴
- プロセスとランタイムデータ
機密データはチャンク単位で流出され、各チャンクはNEXUS Listenerコンポーネントを実行するコマンド&コントロール(C2)サーバーへのHTTPリクエスト経由でポート8080で送信されます。攻撃者には検索、フィルタリング、統計的洞察を含むデータの詳細なビューが提供されます。
「アプリケーションには、侵害されたホスト数と、これらのホストから正常に抽出された各認証情報タイプの総数を含む、複数の統計情報のリストが含まれています」とCisco Talosは今週のレポートで述べています。
「また、アプリケーション自体の稼働時間も表示されています。この場合、自動化された悪用と収集フレームワークは24時間以内に766ホストを正常に侵害することができました。」
防御の推奨事項
盗まれたシークレットにより、攻撃者はクラウドアカウントの乗っ取りとデータベース、決済システム、その他のサービスへのアクセスが可能になり、サプライチェーン攻撃への道も開きます。SSHキーは横方向への移動に使用される可能性があります。
Ciscoは、個人識別情報を含む侵害されたデータが、プライバシー法違反による規制上の結果にも被害者を晒すことを強調しています。
研究者らは、システム管理者がReact2Shellのセキュリティアップデートを適用し、サーバー側のデータ公開を監査し、侵害の疑いがある場合はすべての認証情報をすぐに交換することを推奨しています。
また、AWS IMDSv2を強制し、再利用されているSSHキーを交換することが推奨されます。シークレットスキャニングを有効にし、Next.js向けのWAF/RASP保護をデプロイし、影響を制限するためにコンテナとクラウドロール全体で最小権限を強制する必要があります。
