Làn sóng tấn công qua lỗ hổng Next.js React2Shell lấy cắp hàng ngàn tài khoản

Tấn công bằng lỗ hổng Next.js React2Shell gây thiệt hại lớn

Cisco Talos cảnh báo về một nhóm kẻ tấn công đang khai thác các ứng dụng Next.js có điểm yếu nghiêm trọng để xâm nhập hệ thống và lấy cắp thông tin đăng nhập ở quy mô lớn.

ảnh minh họa công nghệ an ninh

Tên mã của nhóm này là UAT-10608. Họ sử dụng các công cụ quét tự động để tìm kiếm các ứng dụng Next.js bị ảnh hưởng bởi lỗ hổng CVE-2025-55182 (được cộng đồng an ninh mạng gọi là React2Shell). Lỗ hổng này có điểm số CVSS 10, cho phép các kẻ tấn công từ xa thực thi bất kỳ mã nào mà không cần xác thực.

Sau khi xâm nhập, các kẻ tấn công sử dụng tập lệnh tự động và khung Nexus Listener để thu thập thông tin đăng nhập, mã thông báo đám mây, chìa khóa SSH và bí mật môi trường.

Theo Talos, ít nhất 766 hệ thống đã bị xâm phạm và hơn 10.000 tệp tin đã được thu thập trong chiến dịch này.

"Phạm vi tập hợp nạn nhân và mẫu tấn công phiến diện là nhất quán với quét tự động — có khả năng dựa trên dữ liệu hồ sơ máy chủ từ các dịch vụ như Shodan, Censys hoặc máy quét tùy chỉnh để liệt kê các triển khai Next.js công khai và kiểm tra chúng cho các lỗ hổng cấu hình React được mô tả," Talos ghi chú.

UAT-10608 nhắm vào các ứng dụng web công khai có điểm yếu để gửi một payload được thiết kế qua yêu cầu HTTP và thực thi mã ngẫu nhiên trên quy trình Node.js phía máy chủ.

Các kẻ tấn công phụ thuộc vào tập lệnh tự động cho việc thu thập dữ liệu theo nhiều giai đoạn, lặp lại qua các quy trình đang chạy, thời gian chạy JavaScript, SSH, lịch sử lệnh shell, mã thông báo, API siêu dữ liệu đám mây, tài khoản dịch vụ Kubernetes, cấu hình container và dòng lệnh quy trình đang chạy.

Dữ liệu bị đánh cắp được gửi đến máy chủ căn cứ lệnh (C&C) của kẻ tấn công, nơi nó được làm sẵn thông qua ứng dụng web Nexus Listener.

Talos đã xác định một phiên bản Nexus Listener bị lộ và có thể quan sát vào các hoạt động bên trong của ứng dụng cũng như dữ liệu bị đánh cắp. Phiên bản này tiết lộ việc xâm phạm thành công của 766 máy chủ trong vòng 24 giờ.

ảnh minh họa an ninh mạng

Thông tin bị đánh cắp bao gồm các khóa cho các nền tảng AI, bộ xử lý thanh toán, AWS, các nền tảng giao tiếp và GitHub, cũng như các mã thông báo cơ sở dữ liệu, bí mật kết nối, mã thông báo xác thực và mật khẩu.

Các tệp chứa chìa khóa riêng SSH, thông tin xác thực đám mây, mã thông báo tài khoản dịch vụ Kubernetes, biến container Docker và tệp lịch sử lệnh shell cũng được tìm thấy trên phiên bản Nexus Listener bị lộ.

Tất cả thông tin xác thực, khóa, mã thông báo và bí mật bị lộ trong tập dữ liệu nên được coi là đã bị xâm phạm và cần được thay đổi ngay lập tức, vì chúng có thể dẫn đến việc xâm phạm thêm, bao gồm các cuộc tấn công chuỗi cung ứng và di chuyển ngang. Bạn cần cập nhật bảo mật ngay lập tức để ngăn chặn việc khai thác lỗ hổng này.

ảnh minh họa kỹ thuật