【安全资讯】黑客利用React2Shell漏洞发起大规模自动化凭证窃取活动

概要：

网络安全形势日益严峻，自动化攻击正成为主流威胁。近期，一场利用Next.js框架中React2Shell漏洞（CVE-2025-55182）的大规模自动化凭证窃取活动被曝光，已导致全球至少766台主机失陷，大量敏感凭证与密钥遭窃，凸显了现代应用供应链安全的脆弱性。

主要内容：

此次攻击由威胁组织UAT-10608发起，其核心是利用名为NEXUS Listener的自动化攻击框架。攻击始于对存在React2Shell漏洞的Next.js应用进行自动化扫描。一旦成功入侵，攻击者会在临时目录部署脚本，执行多阶段的凭证窃取程序。

窃取的数据范围极广，包括环境变量、API密钥、数据库凭证、各类云服务（AWS/GCP/Azure）的IAM凭证与元数据、SSH私钥、Kubernetes令牌以及容器信息等。这些数据被分块通过8080端口外泄至运行NEXUS Listener的C2服务器。

NEXUS Listener为攻击者提供了强大的数据管理面板，支持搜索、过滤和统计洞察，能清晰展示已攻陷主机数量及各类型凭证的窃取总量。据分析，该框架曾在24小时内成功入侵766台主机，效率惊人。

失窃的凭证使攻击者能够接管云账户、访问数据库与支付系统，并可能引发供应链攻击。SSH密钥则可用于横向移动。Cisco Talos建议管理员立即修复React2Shell漏洞，审计服务器端数据暴露情况，并轮换所有凭证，同时启用密钥扫描并实施最小权限原则以限制影响。