Ein leistungsfähiger automatisierter Betrieb nutzt eine Schwachstelle in Next.js-Anwendungen, um einen massiven Diebstahl von Anmeldeinformationen zu starten, die laut Forschern bereits Hunderte von Servern in der Cloud beeinträchtigt haben. Der ausgenutzte Vektor ist als React2Shell (CVE-2025-55182) und, sobald der Angreifer Zugriff erhält, entfaltet Skripte, die Geheimnisse, Schlüssel und Anmeldeinformationen systematisch anzeigen und ausfiltern.
Die technischen Details und die Folgen der Kampagne wurden von Cisco Talos Analysten dokumentiert, die die Operation einem Cluster von Bedrohungen zuordnen, die als UAT-10608 identifiziert wurden. In ihrer Forschung konnten die Experten auf einen exponierten Körper der Kontrollkomponente zugreifen, genannt NEXUS Listing, die ihnen erlaubte, Live-Informationen zu beobachten, die die Eindringlinge sammelten und wie sie es präsentierten: eine Schnittstelle, die die Suche, Filterung und Statistiken der entfernten Geheimnisse bündelt und erleichtert. Der Talos-Bericht kann konsultiert werden, um die Ergebnisse zu erweitern und Panel-Fangs zu sehen: Cisco Talos - In einem großen automatisierten Anmeldevorgang.
Der von den Forschern beschriebene Modus operandi beginnt mit automatisierten Scans, die nach anfälligen Next.js suchen. Nach der Ausnutzung von React2Shell fällt der Angreifer ein Skript in ein temporäres Verzeichnis, das eine mehrphasige Routine betreibt, um sensible Geheimnisse und Dateien zu extrahieren. Dieses Material wird in Fragmenten verpackt und von HTTP an den Befehls- und Kontrollserver - den NEXUS Listar - gesendet, typischerweise über Port 8080, wo es von bösartigen Operatoren indiziert und zur Analyse zur Verfügung steht.
Die Größe des Vorfalls ist auffällig: Talos berichtete, dass die Betriebsinfrastruktur in der Lage sei, Kompromisse zu schließen mindestens 766 Hosts innerhalb 24 Stunden. Unter den Elementen, die die Angreifer gesammelt sind Umweltvariablen und Anwendungsgeheimnisse (API-Keys, Datenbank-Anmeldeinformationen, GitHub / GitLab-Token), private SSH-Keys, Cloud-Anmeldeinformationen (AWS / GCP / Azures AMI-Metadaten und Anmeldeinformationen), Kubernetes-Tokens, Container- und Docker-Informationen, Befehlshistorie und Prozessdaten im laufenden.
Das Risiko ist nicht auf den zeitnahen Verlust von Geheimnissen beschränkt. Mit diesen Elementen kann ein Angreifer Cloud-Account-Taking durchführen, Zugriff auf Datenbanken und Zahlungssysteme, seitlich mit SSH-Schlüsseln oder Start Supply-Chain-Angriffen mit persistentem Zugriff bewegen. Es gibt auch gesetzliche Kosten, da die Exfiltration personenbezogene Daten, die den Datenschutzbestimmungen unterliegen, beinhalten kann.
Angesichts dieser Kampagnen kombinieren die Empfehlungen der Antwortteams sofortige und strategische Maßnahmen. Es ist dringend notwendig, die Patches anzuwenden, die React2Shell schließen und im Licht des minimalen Verdachts auf Belichtung alle betroffenen Anmeldeinformationen drehen. Cisco Talos besteht auf der Notwendigkeit, mögliche Datenexposition auf dem Server zu überprüfen und wiederverwendete SSH-Tasten zu ersetzen. Für die Cloud-Level-Verteidigung wird empfohlen, die Verwendung von IMDSv2 in AWS EC2 Fällen zu zwingen, um es schwierig zu machen, Instanz-Metadaten aus engagierten Prozessen zu erhalten; die offizielle AWS-Dokumentation erklärt, wie man IMDSv2 konfigurieren und zwingen kann: AWS - Konfigurieren der Instanz Metadata Service.
Weitere präventive Maßnahmen umfassen die Annahme von geheimen Scannen in Repositorien und Pipelines (z.B. Lösungen für geheimes Scannen bietet Plattformen wie GitHub), regelmäßige und automatisierte Rotation von Anmeldeinformationen, strenge Anwendung des Prinzips von weniger Privilegien in den Rollen und Berechtigungen von Containern und Cloud-Konten, und Implementierung von Anwendungsschutzen wie WAF oder RASP, um die Wahrscheinlichkeit von Betriebsstörungen in Web-Anwendungen zu reduzieren. GitHub dokumentiert seine geheimen Erkennungsfunktionen im Code und in der Geschichte des Projektarchivs: GitHub - Secret Scannen, und der OWASP Secret Management Guide bietet gute Lager- und Rotationspraktiken: OWASP - Secrets Management Cheat Sheet.
In der Betriebsebene ist es auch angebracht, die Erkennung und Telemetrie zu verschärfen: ausgehende HTTP-Verbindungen zu ungewöhnlichen Ports (wie 8080) von Anwendungsservern zu überwachen, Prozesse und Dateien in / tmp auf der Suche nach schädlichen Skripten zu überprüfen, Befehlshistoriker und Containerkonfigurationsdateien zu prüfen und anormale Warnungen für die Verwendung von Schlüsseln und Token zu erstellen. Die Begrenzung des Ausgangsverkehrs auf bekannte Zielorte und die Begrenzung der Entladungsfilterung verringert die Fähigkeit eines Eindringlings, Daten auf die C2-Infrastruktur auszulagern.
Diese Kampagne stellt wieder zwei einfache, aber kritische Ideen auf den Tisch: Erstens, dass die Schwachstellen in der Anwendungsschicht ein extrem lukratives Tor für die Angreifer bleiben; und zweitens muss der Schutz von Geheimnissen und Anmeldeinformationen sowohl vorbeugend als auch reaktiv sein. Bewerben Sie Patches schnell, überprüfen Sie die Belichtung sensibler Informationen und haben automatische Prozesse zu drehen und zu erkennen gefilterte Geheimnisse sind minimale Schritte, die jetzt den Unterschied zwischen einem enthaltenen Vorfall und einem Spalt mit weitreichenden Konsequenzen machen können.
Um die von den Forschern geteilten technischen Analysen und Indikatoren zu lesen, siehe Cisco Talos-Bericht: Innerhalb eines großformatigen automatisierten Anmeldevorgangs. Wenn Sie praktische Anleitungen benötigen, um Ihre Umwelt zu überprüfen oder die Minderung zu priorisieren, sind die oben verknüpften AWS- und OWASP-Führungen gute Ausgangspunkte.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...