Cisco Talos 研究人員揭露,一個被追蹤為
UAT-10608 的威脅叢集,正針對暴露於網路的 Next.js 應用程式發動大規模的憑證竊取行動。
攻擊者利用 React2Shell 漏洞 CVE-2025-55182,實現未經驗證的遠端程式碼執行(RCE),並部署名為 NEXUS Listener 的自動化蒐集框架,從受害主機大量擷取憑證與機密資料。
Cisco 表示,這波「系統性」的漏洞利用與外傳行動已造成至少 766 台主機遭入侵,受害範圍橫跨多個地區,且涉及不同雲端服務供應商環境。攻擊者可透過送往 Server Function 端點的惡意序列化負載,觸發伺服端 Node.js 程序執行任意程式碼。
攻擊流程:先入侵,後全自動搜刮
研究人員觀察到,攻擊者在前期仍會進行目標篩選與探測。一旦確認端點可被利用,後續多由 NEXUS Listener 接手,自動化執行攻擊流程。其前期偵測可能結合 Shodan、Censys 等暴露面資料,或使用自建掃描器,枚舉公網可達的 Next.js 部署並探測弱點。
成功入侵後,NEXUS Listener 會在系統內搜刮帳密、SSH 金鑰、雲端權杖與環境機密,並回傳至具備圖形化介面的平台。該平台同時具備指揮控制(C2)與分析儀表板功能,讓攻擊者能透過搜尋與統計快速彙整可用的憑證情資,進一步用於橫向移動、社交工程,或轉售存取權限。
防護建議
- 立即修補 Next.js 相關部署,並優先處理 CVE-2025-55182
- 盤點並輪替可能已曝露的帳密與 API 金鑰,落實最小權限,並避免重複使用 SSH 金鑰
- 限制雲端中繼資料服務(metadata services)的存取,導入機密掃描,並監控異常對外連線
- 進行入侵跡象(IoC)檢查,例如 /tmp/ 出現隨機點開頭的程序、可疑的 nohup 呼叫、容器對非正式環境端點的異常 HTTP/S 連線,以及渲染 HTML 時 NEXT_DATA 夾帶伺服端機密的跡象
本文轉載自 DarkReading。