Ein massiver Anmelde-Diebstahl-Betrieb wurde mit der Verwundbarkeit, die als React2Shell als erste Eingangstür, um Next.js-Anwendungen zu kompromittieren und Geheimnisse in großem Maßstab zu extrahieren. Cisco Talos hat die Kampagne auf eine Gruppe von Bedrohungen, die als UAT-10608 die nach Angaben der Forscher Hunderte von Servern zwischen verschiedenen Regionen und Cloud-Lieferanten infiltrieren konnte.
Der von Analysten beschriebene Modus operandi besteht darin, öffentliche Bereitstellungen von Next.js, die für CVE-2025-55182 anfällig sind, zu erkennen - ein kritischer Ausfall in den React Server Components und der Next.js Router-App, die Remotecode-Ausführung ermöglicht - und diese Ausführung verwenden, um einen "Dropper" zu pflanzen. Dieser Tropfer beginnt eine tiefe Umrahmung des kompromittierten Systems und entfaltet den Sammelrahmen bekannt als NEXUS Listing, eine Web-Anwendung mit einer grafischen Schnittstelle, die die Beratung von allem, was gestohlen wird, zentralisiert und erleichtert.
Von dieser Plattform können die Betreiber die Gesamtstatistiken der betroffenen Hosts und der Art der erhaltenen Anmeldeinformationen sowie Such- und Filterempfindliche Geräte überprüfen. Unter den Geheimnissen und ausgefilterten Informationen, die Talos in NEXUS-Instanzen beobachten konnte, sind Verbindungsketten zu Datenbanken, privaten SSH-Schlüsseln und Einträgen in autoisierten _ Schlüsseln, Shell-Befehlshistoriken, Kubernetes Service Tokens, Docker-Containerkonfigurationen, temporäre Anmeldeinformationen mit IAM-Rollen, die durch den Instanz Metadatendienst in AWS, Google Cloud und Azure und APIs gewonnen wurden.
Das Ausmaß des Engagements - mit mindestens 766 gemäß dem Bericht betroffenen Gastgebern - und die undiskriminierende Art des Scans legen nahe, dass die Angreifer die Suche nach Opfern mithilfe von Motoren und Werkzeugen automatisierten, die exponierte Dienste im Internet lokalisieren, wie zum Beispiel Shodan oder Censys Oder eigene Scanner. Dieser "Rad"-Ansatz auf öffentlichen Next.js-Instanzen, testet Verwundbarkeit und lässt, wenn es die Ausführung erreicht, die Reihe der Skripte, die für das Sammeln von Geheimnissen verantwortlich sind.
Über die unmittelbaren Auswirkungen jedes einzelnen Anmelders hinaus betonen Forscher, dass die Massensammlung eine sehr wertvolle Karte der Infrastruktur der Opfer: zeigt, welche Dienste ausgeführt werden, welche Cloud-Lieferanten verwendet werden, wie Integrationen von Drittanbietern konfiguriert werden und welche Kommunikations- oder Abrechnungsanbieter in Gebrauch sind. Diese Intelligenz ermöglicht spätere gezielte Angriffe, von Seitenbewegungen im Netzwerk bis hin zu Social Engineering-Kampagnen oder den Verkauf von Zugriffen in illegalen Foren.
Für diejenigen, die Next.js-Anwendungen und Cloud-Umgebungen verwalten, sind praktische Empfehlungen klar und dringend. Erstens ist das Patchen oder Abmildern eines verletzlichen Körpers eine Priorität; Next.js offizielle Dokumentation und Projektsicherheitshinweise sollten überprüft werden, sobald Abhilfemaßnahmen verfügbar sind ( Nächster.js Docs) In der Cloud-Infrastruktur verringert die Annahme und Verstärkung von IMDSv2 in EC2 Fällen das Risiko einer Exfiltration von Anmeldeinformationen durch den Metadatendienst; Amazon beschreibt, wie IMDSv2 in seinen offiziellen Anleitungen aktiviert und erzwingt werden kann ( IMDSv2 Dokumentation - AWS)
Darüber hinaus ist es angebracht, die Erkennung und das Ausstreichen von Geheimnissen im Entwicklungszyklus durchzuführen, Schlüssel und Anmeldeinformationen zu drehen, wenn es den geringsten Verdacht auf Engagement gibt, und das Prinzip des kleinen Privilegs in allen Konten und Rollen anzuwenden, um den Umfang der gefilterten Schlüssel zu begrenzen. Werkzeuge und Dienste wie automatische Erkennung von Geheimnissen in Repositorien (z.B. die Funktionalität von Secret Scanning von GitHub) und geheime Manager helfen, die Exposition zu mindern und die sichere Rotation von Anmeldeinformationen zu automatisieren.
Es ist auch ratsam, die Wiederverwendung von SSH-Schlüsselpaaren zwischen Maschinen und Geräten zu vermeiden, regelmäßig zu prüfen, welche Schlüssel und Token vorhanden sind und die Anzahl der Anmeldeinformationen mit umfangreichen Genehmigungen zu minimieren. Für Organisationen, die verwaltete Geheimverwaltungsdienste nutzen, wie AWS Secrets Manager oder kommerzielle Alternativen erlauben es, den Lebenszyklus von Geheimnissen zu steuern und die Rotation zu vereinfachen.
Im Bereich der Erkennung und Reaktion ist es wichtig, anormale Verhaltensweisen wie ungewöhnliche Prozesse zu überwachen, die sensible Dateimessungen durchführen, ausgehende Verbindungen zu nicht erkannten Servern und Aktivität in Endpunkten der Verwaltung, die mit der Bereitstellung von Webapps übereinstimmen, wie von Forschern identifiziert. Sicherheitsteams sollten proaktive Recherchen in ihren Umgebungen betrachten, um öffentlich zugängliche Next.js-Instanzen zu identifizieren und zu überprüfen, ob sie gepatelt wurden oder ob sie Kompromisssignale darstellen.
Der Fall von UAT-10608 und NEXUS Listener ist eine starke Erinnerung daran, dass die Ausbeutung von Schwachstellen in modernen Rahmen zu Verlusten von hochwertigen Geheimnissen und einem Gelegenheitsfenster für spätere Angriffe führen kann. Die Aufrechterhaltung aktueller Umgebungen, die Verringerung der Expositionsfläche und der Schutz von Geheimnissen mit entsprechenden Politiken und Werkzeugen sind Maßnahmen, die den Unterschied zwischen einem isolierten Eindringen und einem Leck machen, das die gesamte operative Kette einer Organisation beeinträchtigt.
Für weitere Forschungs- und technische Details konsultieren Sie bitte die Berichterstattung über Geheimdienstgruppen und spezialisierte Medien wie Cisco Talos und die Technologie- und Cybersicherheitspresse als The Hacker News. Für allgemeine Grundsätze der Websicherheit, Referenzressourcen wie OWASP.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...