Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери ја искористуваат CVE-2025-55182 за пробив во 766 Next.js хостови и кражба на креденцијали

Објавено: 03.04.2026

Забележана е голема операција за прибирање креденцијали која ја искористува ранливоста React2Shell како почетен вектор на инфекција, со цел масовна кражба на бази на податоци, SSH приватни клучеви, Amazon Web Services (AWS) тајни, историја на shell команди, Stripe API клучеви и GitHub токени.

Cisco Talos ја припиша операцијата на група за закани што ја следи под името UAT-10608. Најмалку 766 хостови, низ повеќе географски региони и cloud провајдери, биле компромитирани во рамки на оваа активност.

„По компромитирањето, UAT-10608 користи автоматизирани скрипти за извлекување и ексфилтрација на креденцијали од различни апликации, кои потоа се испраќаат до нивниот command-and-control (C2),“ изјавија безбедносните истражувачи Asheer Malhotra и Brandon White во извештај споделен со The Hacker News.

„C2 серверот содржи веб-базиран графички интерфејс (GUI) наречен ‘NEXUS Listener’, кој се користи за преглед на украдените информации и анализа преку претходно генерирани статистики за собраните креденцијали и компромитираните хостови.“

Се проценува дека кампањата таргетира Next.js апликации ранливи на CVE-2025-55182 (CVSS оценка: 10.0), критична слабост во React Server Components и Next.js App Router, која може да доведе до далечинско извршување на код (RCE), за иницијален пристап, по што се инсталира NEXUS Listener framework.

Ова се постигнува преку dropper кој активира повеќефазна скрипта за собирање податоци од компромитираниот систем, вклучувајќи:

  • Променливи на околината (environment variables)
  • JSON-парсирана околина од JavaScript runtime
  • SSH приватни клучеви и authorized_keys
  • Историја на shell команди
  • Kubernetes service account токени
  • Конфигурации на Docker контејнери (активни контејнери, нивни имиџи, отворени портови, мрежни поставки, mount точки и environment variables)
  • API клучеви
  • Привремени креденцијали поврзани со IAM улоги (преку Instance Metadata Service за AWS, Google Cloud и Microsoft Azure)
  • Активни процеси

Компанијата за сајбербезбедност наведе дека обемот на жртвите и неселективниот модел на таргетирање укажуваат на автоматизирано скенирање, веројатно користејќи сервиси како Shodan, Censys или сопствени скенери, за откривање јавно достапни Next.js инсталации и нивно тестирање за ранливоста.

Централно место во framework-от има веб апликација заштитена со лозинка, која му овозможува на операторот преку графички интерфејс да пристапи до сите украдени податоци, со можност за пребарување и анализа.

„Апликацијата прикажува различни статистики, вклучувајќи број на компромитирани хостови и вкупен број на секој тип креденцијали што се успешно извлечени,“ соопшти Talos. „Исто така овозможува преглед на сите компромитирани хостови и го прикажува времето на работа (uptime) на самата апликација.“

Тековната верзија на NEXUS Listener е V3, што укажува дека алатката поминала низ значителни развојни фази.

Talos, кој успеал да дојде до податоци од незаштитена (неавтентицирана) инстанца на NEXUS Listener, открил дека таа содржи API клучеви поврзани со Stripe, платформи за вештачка интелигенција (OpenAI, Anthropic и NVIDIA NIM), комуникациски сервиси (SendGrid и Brevo), како и Telegram бот токени, webhook тајни, GitHub и GitLab токени, конекциски стрингови за бази на податоци и други апликативни тајни.

Оваа обемна операција за собирање податоци покажува како напаѓачите можат да го искористат пристапот до компромитирани системи за понатамошни напади. Организациите се советуваат да ги ревидираат своите системи, да го применуваат принципот на најмали привилегии, да овозможат скенирање на тајни податоци, да избегнуваат повторна употреба на SSH клучеви, да имплементираат IMDSv2 на сите AWS EC2 инстанци и да ги ротираат креденцијалите доколку постои сомнеж за компромитација.

„Освен непосредната оперативна вредност на поединечните креденцијали, агрегираниот dataset претставува детална мапа на инфраструктурата на жртвите: кои сервиси ги користат, како се конфигурирани, кои cloud провајдери ги користат и кои интеграции со трети страни се во употреба,“ истакнаа истражувачите.

„Овие информации имаат значајна вредност за изведување насочени напади, кампањи со социјален инженеринг или продажба на пристап на други актери на закани.“

Извори:

  • The Hacker News – Hackers Exploit CVE-2025-55182 to Breach 766 Next.js Hosts, Steal Credentials The Hacker News