Une campagne de grande envergure visant à dérober des identifiants se déroule actuellement, exploitant la vulnérabilité React2Shell (CVE-2025-55182) dans des applications Next.js vulnérables. Au moins 766 hôtes situés à travers plusieurs fournisseurs de cloud ont été compromis pour récupérer des données telles que des identifiants de base de données, des clés privées SSH, des clés d’API, des jetons de cloud et des secrets d’environnement.
Cette opération s’appuie sur un cadre connu sous le nom de NEXUS Listener, utilisant des scripts automatisés pour extraire et exfiltrer des données sensibles provenant de diverses applications.
Selon le comuniqué de Cisco Talos, ces activités ont été attribuées à un groupe de menaces identifié sous la référence UAT-10608. Les chercheurs ont pu accéder à une instance exposée de NEXUS Listener, ce qui leur a permis d’analyser les types de données collectées sur les systèmes compromis et de mieux comprendre le fonctionnement de l’application web.
Source: Cisco Talos
Extraction automatisée de secrets
L’attaque débute par un scan automatisé à la recherche d’applications Next.js vulnérables, qui sont compromises via la faille React2Shell. Un script est alors placé dans le répertoire temporaire standard pour exécuter une routine d’extraction d’identifiants en plusieurs phases.
Les données volées comprennent :
- Variables d’environnement et secrets (clés d’API, identifiants de base de données, jetons GitHub/GitLab)
- Clés SSH
- Identifiants de cloud (métadonnées AWS/GCP/Azure, identifiants IAM)
- Jetons Kubernetes
- Informations sur Docker/conteneurs
- Historique des commandes
- Données relatives aux processus et à l’exécution
Les informations sensibles sont exfiltrées par morceaux, chaque portion étant envoyée via une requête HTTP sur le port 8080 vers un serveur de commande et contrôle (C2) exécutant le composant NEXUS Listener. L’attaquant obtient alors une vue détaillée des données, notamment avec des fonctionnalités de recherche et de filtrage.
Le rapport de Cisco Talos souligne que l’application présente diverses statistiques, notamment le nombre d’hôtes compromis et le total de chaque type d’identifiant réussi à extraire. En effet, dans ce cas précis, le cadre d’exploitation et de collecte des données a réussi à compromettre 766 hôtes en seulement 24 heures.
Source: Cisco Talos
Recommandations en matière de défense
Les secrets volés permettent aux attaquants de s’emparer de comptes de cloud et d’accéder à des bases de données, à des systèmes de paiement, et d’autres services, augmentant ainsi le risque d’attaques sur la chaîne d’approvisionnement. Les clés SSH pourraient également faciliter des mouvements latéraux dans le réseau.
Cisco met en garde contre les conséquences réglementaires potentielles résultant de violations de la loi sur la confidentialité, étant donné que les données compromises incluent des informations personnellement identifiables.
Les chercheurs recommandent aux administrateurs système de mettre à jour React2Shell, d’auditer l’exposition des données côté serveur, et de changer immédiatement toutes les identifications en cas de soupçon de compromission. D’autres recommandations incluent l’application d’AWS IMDSv2 et le changement de toutes les clés SSH réutilisées. Ils suggèrent également d’activer la recherche de secrets, de déployer des protections WAF/RASP pour Next.js, et de respecter le principe de moindre privilège pour limiter l’impact sur les conteneurs et les rôles de cloud.