Uma operação massiva de roubo de credenciais foi detectada utilizando a vulnerabilidade conhecida como React2Shell Como porta de entrada inicial para comprometer aplicativos Next.js e extrair segredos em grande escala. A Cisco Talos atribuiu a campanha a um cluster de ameaças identificado como UAT-10608, que, segundo os pesquisadores, conseguiu infiltrar-se em centenas de servidores distribuídos entre várias regiões e fornecedores na nuvem.
O modus operandi descrito pelos analistas consiste em detectar destacamentos públicos de Next.js vulneráveis a CVE-2025-55182 - uma falha crítica nas Server Components de React e o App Router de Next.js que permite execução remota de código - e aproveitar essa execução para plantar um “dropper”. Esse dropper inicia um escrapeo profundo do sistema comprometido e exibe o marco de coleção conhecido como NEXUS Listener, uma aplicação web com interface gráfica que centraliza e facilita a consulta de tudo o roubado.
Desde essa plataforma, os operadores podem revisar estatísticas agregadas sobre hosts afetados e tipos de credenciais obtidas, bem como buscar e filtrar artefatos sensíveis. Entre os segredos e as informações exfiltradas que Talos pôde observar em instâncias de NEXUS encontram-se cadeias de conexão a bases de dados, chaves privadas SSH e entradas em authorized_keys, históriais de comandos de shell, tokens de serviço de Kubernetes, configurações de contêineres Docker, credenciais temporais associadas a papéis de IAM obtidas através do serviço de metadados de instâncias na AWS, Google Cloud e Azure, e chaves de APIs de serviços como Stripe, plataformas de IA, serviços de comunicação e repositórios de código.
A amplitude do compromisso — com pelo menos 766 hosts afectados segundo o relatório — e a natureza indiscriminada da digitalização sugerem que os atacantes automatizaram a busca de vítimas usando motores e ferramentas que localizam serviços expostos na Internet, como Shodan ou Censys, quer scanners próprios. Essa abordagem “rueda” sobre instâncias Next.js públicas, prova a vulnerabilidade e, quando consegue execução, deixa cair o conjunto de scripts encarregados de coletar segredos.
Para além do impacto imediato de cada credencial individual, os pesquisadores sublinham que a coleção maciça constitui um mapa muito valioso da infraestrutura das vítimas: revela que serviços são executados, quais fornecedores na nuvem são usados, como estão configuradas as integrações de terceiros e quais fornecedores de comunicação ou faturamento estão em uso. Essa inteligência facilita ataques dirigidos posteriores, desde movimentos laterais na rede até campanhas de engenharia social ou venda de acessos em fóruns ilícitos.
Para quem administra aplicativos Next.js e ambientes na nuvem, as recomendações práticas são claras e urgentes. Em primeiro lugar, corrigir ou mitigar qualquer instância vulnerável é prioritário; a documentação oficial do Next.js e as notas de segurança do projeto devem ser revistas quanto a remédios disponíveis ( Next.js Docs). Em infraestrutura cloud, adoção e reforço de IMDSv2 em instâncias EC2 reduz o risco de exfiltração de credenciais através do serviço de metadados; a Amazon descreve como ativar e forçar IMDSv2 em seus guias oficiais ( Documentação IMDSv2 - AWS).
Além disso, convém implementar detecção e varredura de segredos no ciclo de desenvolvimento, rotar chaves e credenciais se houver a menor suspeita de compromisso, e aplicar o princípio de menor privilégio em todas as contas e papéis para limitar o alcance das chaves filtradas. Ferramentas e serviços como detecção automática de segredos em repositórios (por exemplo, funcionalidade de Secret Scanning do GitHub) e gestores de segredos ajudam a atenuar a exposição e a automatizar a rotação segura de credenciais.
Também é aconselhável evitar a reutilização de pares de chaves SSH entre máquinas e equipamentos, auditar regularmente quais chaves e tokens estão vigentes, e minimizar o número de credenciais com permissões amplas. Para organizações que usam serviços gerenciados de gestão de segredos, soluções como AWS Secrets Manager ou alternativas comerciais permitem controlar o ciclo de vida de segredos e simplificar a rotação.
No plano da detecção e resposta, é importante monitorar comportamentos anormais como processos incomuns que realizam leituras de arquivos sensíveis, conexões salientes para servidores não reconhecidos e atividade nos endpoints de administração que correspondam à implantação de webapps como a que os pesquisadores identificaram. Os equipamentos de segurança devem considerar buscas proativas em seus ambientes para identificar instâncias Next.js acessíveis publicamente e verificar se foram adesivos ou se apresentam sinais de compromisso.
O caso de UAT-10608 e NEXUS Listener é um lembrete contundente de que a exploração de vulnerabilidades em frameworks modernos pode resultar em perdas de segredos de grande valor e em uma janela de oportunidade para ataques posteriores. Manter ambientes atualizados, reduzir a superfície de exposição e proteger os segredos com políticas e ferramentas adequadas são medidas que marcam a diferença entre uma intrusão isolada e uma filtração que compromete toda a cadeia de operações de uma organização.
Para acompanhar a pesquisa e obter mais detalhes técnicos, consultar a cobertura de grupos de inteligência e meios especializados como Cisco Talos e a imprensa tecnológica e de cibersegurança como The Hacker News. No que respeita aos princípios gerais de segurança web, é conveniente rever recursos de referência como OWASP.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...