Operação associada ao cluster UAT-10608 usa a falha React2Shell para obter execução remota, implantar o NEXUS Listener e extrair segredos de aplicações, nuvem, bancos de dados e repositórios.
| Componente | Aplicações Next.js vulneráveis à CVE-2025-55182, falha crítica em React Server Components e Next.js App Router. |
| Vetor | Exploração remota de implantações Next.js publicamente acessíveis, provavelmente identificadas por varredura automatizada em múltiplas regiões e provedores de nuvem. |
| Impacto | Execução remota de código como acesso inicial, implantação de scripts de coleta e exfiltração de credenciais de bancos de dados, SSH, AWS, Stripe, GitHub, GitLab e outros serviços. |
| Prioridade | Corrigir aplicações afetadas, auditar hosts expostos, rotacionar segredos potencialmente acessados e revisar permissões de nuvem, repositórios e integrações. |
| Artefatos | Framework de coleta NEXUS Listener V3, com interface web protegida por senha para consulta de hosts comprometidos e tipos de credenciais extraídos. |
Uma operação de coleta de credenciais em larga escala explorou a vulnerabilidade React2Shell, rastreada como CVE-2025-55182, para comprometer aplicações Next.js expostas à internet. A falha afeta React Server Components e o Next.js App Router, recebeu pontuação CVSS 10.0 no material analisado e pode resultar em execução remota de código. O uso da vulnerabilidade como vetor inicial permitiu a implantação de um fluxo automatizado de pós-comprometimento voltado à extração de segredos armazenados em sistemas de aplicação, ambientes de nuvem, contêineres e ferramentas de desenvolvimento.
A atividade foi associada ao cluster UAT-10608 e já envolveu pelo menos 766 hosts em diferentes regiões geográficas e provedores de nuvem. O padrão descrito é amplo e pouco seletivo, consistente com descoberta automatizada de alvos por serviços de indexação, motores de varredura ou scanners próprios. Após o acesso inicial, os operadores instalam um conjunto de coleta chamado NEXUS Listener, usado para centralizar informações roubadas, organizar estatísticas de credenciais e permitir navegação pelos hosts comprometidos por meio de uma interface gráfica.
A cadeia começa com a identificação de implantações Next.js publicamente alcançáveis e potencialmente vulneráveis à CVE-2025-55182. Quando a aplicação exposta permite a exploração da falha, o invasor obtém execução remota de código e usa esse ponto de entrada para acionar um dropper. Esse componente não foi descrito como uma exploração manual caso a caso; o volume de vítimas e a diversidade de ambientes indicam automação na enumeração, teste de exposição e instalação dos estágios seguintes.
Depois do dropper, a operação passa para um script de coleta em múltiplas fases. O objetivo técnico é localizar credenciais em variáveis de ambiente, configurações de aplicações, conexões de banco de dados, chaves SSH privadas, histórico de comandos de shell, tokens de GitHub e GitLab, chaves de API de Stripe, segredos de webhooks, tokens de bots do Telegram e credenciais temporárias associadas a papéis IAM. O mesmo fluxo também coleta informações de contêineres Docker, incluindo imagens em execução, portas expostas, redes, pontos de montagem e variáveis de ambiente, o que aumenta o valor operacional do comprometimento para ataques subsequentes.
O NEXUS Listener atua como camada de consolidação da campanha. A versão observada é a V3, indicando evolução anterior do ferramental. A aplicação web associada possui autenticação por senha, recursos de busca, estatísticas agregadas e listagem de hosts comprometidos. Uma instância sem autenticação expôs dados coletados, incluindo chaves de API de Stripe, plataformas de inteligência artificial como OpenAI, Anthropic e NVIDIA NIM, serviços de comunicação como SendGrid e Brevo, além de tokens, strings de conexão e segredos de aplicações. Esses dados não representam apenas acesso pontual: juntos, eles revelam arquitetura, integrações, provedores usados e caminhos possíveis para novas intrusões.
A superfície principal é formada por aplicações Next.js que usam os componentes afetados e estão acessíveis externamente. Como o vetor depende de exposição pública e de uma falha com impacto de execução remota de código, servidores de aplicação, ambientes de preview, workloads em nuvem, contêineres e pipelines que publicam serviços temporários podem entrar no escopo se executarem versões vulneráveis ou não corrigidas. A presença de segredos no ambiente do processo agrava o impacto, porque a execução no host permite leitura de variáveis, arquivos de configuração e materiais de autenticação deixados no sistema.
O risco se expande quando a mesma máquina ou contêiner concentra credenciais reutilizáveis. Chaves SSH privadas, tokens de repositório, strings de conexão de banco de dados e chaves de provedores externos podem permitir acesso a ativos fora da aplicação inicialmente explorada. Em ambientes AWS EC2, a consulta ao serviço de metadados para obter credenciais temporárias associadas a papéis IAM foi citada como parte da coleta. O contexto também menciona consultas equivalentes a serviços de metadados em Google Cloud e Microsoft Azure, o que torna necessária a revisão de permissões em múltiplos provedores quando houver indício de comprometimento.
- Aplicações Next.js com React Server Components e Next.js App Router vulneráveis à
CVE-2025-55182. - Hosts publicamente expostos em regiões e provedores de nuvem variados.
- Ambientes que armazenam segredos em variáveis de ambiente, arquivos locais, histórico de shell ou configurações de contêiner.
- Instâncias de nuvem com credenciais temporárias acessíveis por serviços de metadados e permissões amplas.
A investigação defensiva deve começar por inventariar aplicações Next.js expostas e correlacionar janelas de exploração com alterações recentes em arquivos, processos e conexões de saída. Em hosts suspeitos, a telemetria de endpoint deve buscar execução anômala iniciada pelo processo da aplicação, criação ou download de scripts de coleta, leitura concentrada de arquivos de configuração e acesso incomum a diretórios que guardam chaves SSH, variáveis de ambiente ou artefatos de implantação. Como o fluxo descrito exfiltra credenciais para infraestrutura de comando e controle, conexões de saída inesperadas após requisições ao aplicativo são sinais relevantes.
Em nuvem, a prioridade é revisar chamadas ao serviço de metadados, emissão de credenciais temporárias e uso posterior dessas credenciais em APIs sensíveis. Logs de IAM, CloudTrail ou equivalentes devem ser correlacionados com o host vulnerável e com horários de requisições suspeitas. Em repositórios e serviços externos, procure uso de tokens GitHub, GitLab, Stripe, SendGrid, Brevo, Telegram e chaves de plataformas de inteligência artificial a partir de endereços, regiões ou agentes de usuário incomuns. A defesa deve tratar os segredos presentes no host comprometido como expostos, mesmo quando não houver confirmação individual de uso posterior.
- Processos filhos incomuns iniciados pelo runtime da aplicação Next.js ou por componentes web associados.
- Leitura em massa de variáveis de ambiente, arquivos de configuração, chaves SSH, histórico de shell e strings de conexão.
- Consultas ao serviço de metadados de nuvem a partir de workloads que normalmente não acessam esse recurso.
- Uso de tokens de repositório, API keys e credenciais temporárias fora dos padrões esperados de origem, horário ou serviço.
A resposta deve priorizar correção das aplicações afetadas pela CVE-2025-55182 e redução imediata da exposição externa. Hosts Next.js acessíveis pela internet precisam ser identificados, atualizados e validados contra a falha, com atenção especial a ambientes de staging, preview e workloads temporários que frequentemente ficam fora dos controles principais de inventário. Quando houver qualquer indício de exploração, a contenção não deve se limitar ao servidor web: credenciais presentes no host, no contêiner e no ambiente de nuvem devem ser consideradas comprometidas.
A rotação de segredos deve seguir o alcance real do host exposto. Isso inclui chaves SSH privadas reutilizadas, tokens de GitHub e GitLab, credenciais de banco de dados, chaves Stripe, tokens de bots, segredos de webhooks, credenciais de serviços de comunicação e chaves de plataformas de inteligência artificial. Em AWS EC2, a aplicação de IMDSv2 deve ser reforçada para reduzir abuso do serviço de metadados; em outros provedores, controles equivalentes e permissões mínimas devem ser revisados. Contas e papéis usados por aplicações devem receber apenas as permissões indispensáveis, porque a campanha demonstra que segredos agregados podem virar um mapa de infraestrutura para ataques posteriores.
Após a correção, a validação precisa confirmar que o vetor foi fechado e que os artefatos de pós-comprometimento foram removidos. Equipes de segurança devem revisar contêineres em execução, imagens, portas expostas, montagens e variáveis de ambiente, além de caches e pipelines que possam conter cópias dos mesmos segredos. A detecção contínua deve combinar varredura de segredos, alertas de uso anômalo de tokens e monitoramento de execução inesperada em servidores de aplicação. O objetivo é impedir que uma falha de execução remota em uma aplicação web se converta em acesso persistente a repositórios, bancos de dados, provedores de nuvem e serviços de terceiros.
- Atualizar aplicações Next.js afetadas pela
CVE-2025-55182e confirmar que instâncias públicas não permanecem vulneráveis. - Rotacionar credenciais que estavam acessíveis no host, em variáveis de ambiente, arquivos locais, contêineres e configurações de aplicação.
- Aplicar privilégio mínimo em papéis IAM, tokens de repositório, contas de banco de dados e integrações externas.
- Habilitar secret scanning e investigar uso anômalo de chaves em GitHub, GitLab, Stripe, serviços de comunicação, plataformas de inteligência artificial e provedores de nuvem.
0 Comentários