Uma nova campanha de larga escala está a explorar ativamente a vulnerabilidade React2Shell (CVE-2025-55182) em aplicações Next.js, permitindo aos piratas informáticos a extração automática de credenciais sensíveis. Segundo a análise detalhada pela Cisco Talos, este ataque comprometeu pelo menos 766 sistemas de várias plataformas de alojamento num período de apenas 24 horas.
O grupo de ameaças, identificado como UAT-10608, foca-se na recolha intensiva de dados críticos. Entre a informação desviada encontram-se chaves privadas SSH, tokens de ambientes de desenvolvimento como o GitHub, credenciais de bases de dados e acessos a infraestruturas de AWS. A operação é meticulosa e utiliza um sistema desenhado especificamente para este fim, conhecido como NEXUS Listener.
Como funciona o roubo automatizado
O processo de intrusão inicia-se com um rastreio automático para encontrar aplicações Next.js que ainda não tenham sido corrigidas contra a falha React2Shell. Assim que a porta de entrada é validada, os atacantes inserem um script no diretório temporário padrão do sistema. Este código é responsável por executar múltiplas fases de extração, recolhendo variáveis de ambiente, informações de contentores Docker e detalhes sobre a execução dos processos.
Toda esta informação sensível é depois enviada em blocos através de pedidos HTTP na porta 8080 para um servidor de comando e controlo. Do outro lado, o NEXUS Listener oferece aos atacantes um painel completo com estatísticas em tempo real, permitindo filtrar, pesquisar e organizar as credenciais roubadas de forma altamente eficiente.
As medidas de proteção recomendadas
Com as chaves na mão, os invasores ganham a capacidade de dominar contas na nuvem, aceder a sistemas de pagamento e abrir caminho para ataques à cadeia de abastecimento. A recolha e exposição destes dados deixa também as organizações vítimas sujeitas a graves consequências legais por violação de privacidade.
Para mitigar esta ameaça, a recomendação prioritária passa pela aplicação imediata das atualizações de segurança que resolvem a vulnerabilidade React2Shell. Os administradores de sistemas devem também auditar a exposição de informação do lado do servidor, rodar todas as palavras-passe em caso de suspeita de invasão e substituir chaves SSH antigas. A implementação de proteções adicionais, como a exigência da versão mais recente do serviço de metadados na nuvem, a ativação de rastreio de segredos e a limitação de privilégios nos acessos, é essencial para manter a infraestrutura a salvo destas incursões automatizadas.
Nenhum comentário
Seja o primeiro!