Une opération massive de vol d'identification a été détectée en utilisant la vulnérabilité connue comme Réaction2Shell comme porte d'entrée initiale pour compromettre les applications Next.js et extraire des secrets à grande échelle. Cisco Talos a attribué la campagne à un ensemble de menaces identifiées comme TU-10608 qui, selon les chercheurs, a pu infiltrer des centaines de serveurs distribués entre différentes régions et fournisseurs de cloud.
Le modus operandi décrit par les analystes consiste à détecter les déploiements publics de Next.js vulnérables à CVE-2025-55182 - une défaillance critique dans les composants React Server et l'application Next.js Router qui permet l'exécution de code à distance - et en utilisant cette exécution pour planter une "dropper". Cette goutteuse commence un cadrage profond du système compromis et déploie le cadre de collecte connu sous le nom de NEXUS Listar, une application web avec une interface graphique qui centralise et facilite la consultation de tout volé.
À partir de cette plateforme, les opérateurs peuvent examiner les statistiques agrégées sur les hôtes touchés et les types d'identifications obtenues, ainsi que les dispositifs sensibles à la recherche et au filtrage. Parmi les secrets et les informations exfiltrées que Talos a pu observer dans les instances NEXUS, il y a les chaînes de connexion aux bases de données, les clés SSH privées et les entrées dans les clés _ autoisées, les histoires de commandes shell, les jetons de service Kubernetes, les configurations de conteneurs Docker, les identifiants temporaires associés aux rôles IAM obtenus par le service de métadonnées d'instance dans AWS, Google Cloud et Azure, et les clés de service API telles que Stripe, plates-formes IA, services de communication et dépôts de code.
L'ampleur de l'engagement - avec au moins 766 hôtes touchés selon le rapport - et le caractère aveugle de l'analyse suggèrent que les agresseurs ont automatisé la recherche des victimes à l'aide de moteurs et d'outils qui localisent les services exposés sur Internet, comme Shodan ou Censys Ou leurs propres scanners. Cette approche « roue » sur public Next.js instances, teste la vulnérabilité et, lorsqu'elle réalise l'exécution, laisse l'ensemble des scripts en charge de la collecte des secrets.
Au-delà de l'impact immédiat de chaque titre, les chercheurs soulignent que la collection de masse constitue une carte très précieuse de l'infrastructure des victimes: révèle quels services sont exécutés, quels fournisseurs de cloud sont utilisés, comment les intégrations de tiers sont configurées et quels fournisseurs de communication ou de facturation sont utilisés. Ce renseignement facilite les attaques ciblées subséquentes, des mouvements secondaires dans le réseau aux campagnes d'ingénierie sociale ou à la vente d'accès dans des forums illégaux.
Pour ceux qui gèrent les applications Next.js et les environnements cloud, les recommandations pratiques sont claires et urgentes. Premièrement, la correction ou l'atténuation de tout organisme vulnérable est une priorité; la documentation officielle de Next.js et les notes de sécurité du projet devraient être revues dès que des remèdes sont disponibles ( Suivant.js Docs). Dans les infrastructures infonuagiques, l'adoption et le renforcement d'IMDSv2 dans les cas EC2 réduisent le risque d'exfiltration d'identifications via le service de métadonnées; Amazon décrit comment activer et forcer IMDSv2 dans ses guides officiels ( Documents IMDSv2 - Ça va ?).
En outre, il convient de mettre en œuvre la détection et le balayage des secrets dans le cycle de développement, de faire pivoter les clés et les lettres de créance si l'engagement est le moins suspect, et d'appliquer le principe du privilège mineur dans tous les comptes et rôles pour limiter la portée des clés filtrées. Outils et services tels que la détection automatique des secrets dans les dépôts Scannage secret de GitHub) et les gestionnaires secrets aident à atténuer l'exposition et à automatiser la rotation sécuritaire des titres de compétences.
Il est également conseillé d'éviter la réutilisation des paires de clés SSH entre les machines et l'équipement, de vérifier régulièrement les clés et les jetons en place, et de réduire au minimum le nombre de références avec des permis étendus. Pour les organisations qui utilisent des services de gestion du secret, comme AWS Secrets Manager ou des alternatives commerciales permettent de contrôler le cycle de vie des secrets et de simplifier la rotation.
Dans le domaine de la détection et de la réponse, il est important de surveiller les comportements anormaux tels que les processus inhabituels qui effectuent des lectures de fichiers sensibles, les connexions sortantes à des serveurs non reconnus et l'activité dans les paramètres d'administration qui coïncide avec le déploiement des applications web identifiées par les chercheurs. Les équipes de sécurité devraient envisager des recherches proactives dans leur environnement afin d'identifier les instances Next.js accessibles au public et de vérifier si elles ont été corrigées ou si elles présentent des signaux de compromis.
Le cas de l'UAT-10608 et de l'auditeur NEXUS rappelle clairement que l'exploitation des vulnérabilités dans les cadres modernes peut entraîner la perte de secrets de grande valeur et une fenêtre d'opportunité pour les attaques ultérieures. Maintenir des environnements à jour, réduire la surface d'exposition et protéger les secrets au moyen de politiques et d'outils appropriés sont des mesures qui font la différence entre une intrusion isolée et une fuite qui compromet l'ensemble de la chaîne d'opérations d'une organisation.
Pour de plus amples recherches et des détails techniques, veuillez consulter la couverture des groupes de renseignement et des médias spécialisés tels que Cisco Talos et la presse technologique et de cybersécurité Les nouvelles Hacker. Pour les principes généraux de la sécurité du Web, des ressources de référence comme OWASP.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...