Uma operação automatizada de grande alcance está aproveitando uma vulnerabilidade em aplicações Next.js para arrancar um enorme roubo de credenciais que, segundo os pesquisadores, já comprometeu centenas de servidores na nuvem. O vetor explorado é conhecido como React2Shell (CVE-2025-55182) e, uma vez que o atacante obtém acesso, desenvolve scripts que mostrem e exfiltram segredos, chaves e credenciais de forma sistemática.
Os detalhes técnicos e o seguimento da campanha foram documentados pelos analistas da Cisco Talos, que atribuem a operação a um cluster de ameaças identificado como UAT-10608. Na sua pesquisa, os especialistas puderam acessar uma instância exposta do componente de controle chamado NEXUS Listener, o que lhes permitiu observar em direto a informação que os intrusos estavam coletando e como a apresentavam: uma interface que agrupa e facilita a busca, a filtragem e a estatística dos segredos sutraídos. O relatório de Talos pode ser consultado para alargar os resultados e ver capturas do painel: Cisco Talos — Inside a large-scale automated credential-harvesting operation.
O modus operandi descrito pelos pesquisadores arranca com explorações automatizadas em busca de instâncias Next.js vulneráveis. Depois de explorar o React2Shell, o atacante deixa cair um script em uma pasta temporária que executa uma rotina em várias fases para extrair segredos e arquivos sensíveis. Esse material é embalado em fragmentos e enviado por HTTP para o servidor de comando e controle - o NEXUS Listener - tipicamente através do porto 8080, onde fica indexado e disponível para sua análise pelos operadores maliciosos.
A magnitude do incidente é chamada: Talos informou que a infraestrutura de exploração foi capaz de comprometer pelo menos 766 hosts num período de 24 horas. Entre os elementos que os atacantes coletaram contam-se variáveis de ambiente e segredos de aplicativos (API keys, credenciais de bases de dados, tokens do GitHub/GitLab), chaves SSH privadas, credenciais de nuvem (metadatos e credenciais IAM da AWS/GCP/Azure), tokens de Kubernetes, informações de contêineres e Docker, históriais de comandos e dados de processos em execução.
O risco não se limita à perda pontual de segredos. Com estes elementos um atacante pode fazer o controle de contas cloud, acessar bases de dados e sistemas de pagamento, mover-se lateralmente usando chaves SSH ou lançar ataques à cadeia de fornecimento aproveitando acessos persistentes. Existe também um custo regulatório porque a exfiltração pode incluir dados pessoais sujeitos a regulamentos de privacidade.
Diante deste tipo de campanhas, as recomendações dos equipamentos de resposta combinam medidas imediatas e estratégicas. É urgente aplicar os adesivos que fechem React2Shell e, no mínimo, suspeita de exposição, rodar todas as credenciais afetadas. A Cisco Talos insiste na necessidade de auditar possíveis exposições de dados no servidor e substituir chaves SSH reutilizadas. Para a defesa a nível cloud, é recomendável forçar o uso de IMDSv2 em instâncias EC2 da AWS para dificultar a obtenção de metadados de instância por processos comprometidos; a documentação oficial da AWS explica como configurar e forçar IMDSv2: AWS — Configuring the Instance Metadata Service.
Outras medidas preventivas incluem a adoção de digitalização de segredos em repositórios e pipelines (por exemplo, soluções de secret scanning que oferecem plataformas como o GitHub), a rotação periódica e automatizada de credenciais, a aplicação estrita do princípio de menor privilégio em papéis e permissões de contêineres e contas cloud, e a implementação de protecções de aplicação como WAF ou RASP para reduzir a probabilidade de exploração de falhas em aplicativos web. O GitHub documenta suas capacidades de detecção de segredos no código e na história do repositório: GitHub — Secret scanning, e o guia do OWASP sobre gestão de segredos oferece boas práticas sobre armazenamento e rotatividade: OWASP — Secrets Management Cheat Sheet.
No plano operacional, convém também endurecer a detecção e a telemetria: monitorar conexões HTTP salientes para portos não habituais (como 8080) de servidores de aplicações, revisar processos e arquivos em /tmp em busca de scripts maliciosos, auditar histórias de comandos e arquivos de configuração de contêineres, e estabelecer alertas de uso anormais de chaves e tokens. Limitar o tráfego de saída a destinos conhecidos e forçar o egress filtering reduz a capacidade de um intruso de exfiltrar dados para infra-estruturas C2.
Essa campanha volta a colocar sobre a mesa duas ideias simples, mas críticas: primeiro, que as vulnerabilidades na camada de aplicação ainda são uma porta de entrada extremamente lucrativa para os atacantes; e segundo, que a proteção de segredos e credenciais deve ser tanto preventiva como reativa. Aplicar adesivos rapidamente, auditar a exposição de informação sensível e contar com processos automáticos para rotar e detectar segredos filtrados são passos mínimos que hoje podem marcar a diferença entre um incidente conteúdo e uma brecha com consequências de longo alcance.
Para ler a análise técnica e os indicadores compartilhados pelos pesquisadores, consulte o relatório da Cisco Talos: Inside a large-scale automated credential-harvesting operation. Se você precisa de orientação prática para auditar seu ambiente ou priorizar mitigações, os guias da AWS e OWASP conectados acima são bons pontos de partida.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...