Les chercheurs en cybersécurité ont découvert une campagne sophistiquée ciblant les applications **Next.js** vulnérables à l'exploit **React2Shell** (CVE-2025-55182). L'opération, attribuée par **Cisco Talos** à un groupe de menaces suivi sous le nom UAT-10608, utilise un framework automatisé nommé **NEXUS Listener** pour collecter des identifiants et des données sensibles sur les systèmes compromis. ### Compromission généralisée Au moins 766 hôtes répartis sur divers fournisseurs de cloud et emplacements géographiques ont été compromis. Les attaquants se concentrent sur la collecte d'identifiants de base de données, d'identifiants **Amazon Web Services (AWS)**, de clés privées SSH, de clés API, de jetons cloud et de secrets d'environnement. ### NEXUS Listener : L'outil de récolte automatisée Le framework **NEXUS Listener** automatise le processus d'extraction et d'exfiltration des données sensibles. **Cisco Talos** a obtenu l'accès à une instance exposée du framework, offrant un aperçu de ses fonctionnalités et de l'étendue des données collectées.  **Le panneau principal de Nexus Listener** *Source : Cisco Talos* ### Chaîne d'attaque : De la vulnérabilité à l'exfiltration L'attaque commence par un scan automatisé des applications **Next.js** vulnérables. Une fois une cible vulnérable identifiée, la vulnérabilité **React2Shell** est exploitée pour déployer un script de collecte d'identifiants en plusieurs phases dans le répertoire temporaire standard. Les données volées comprennent : * Variables d'environnement et secrets (clés API, identifiants de base de données, jetons GitHub/GitLab) * Clés SSH * Identifiants cloud (**AWS**/GCP/Azure metadata, identifiants IAM) * Jetons Kubernetes * Informations Docker/conteneurs * Historique des commandes * Données de processus et d'exécution Ces informations sensibles sont ensuite exfiltrées par morceaux via des requêtes HTTP sur le port 8080 vers un serveur de commande et de contrôle (C2) exécutant le composant **NEXUS Listener**. Les attaquants obtiennent une vue détaillée des données, y compris des capacités de recherche, de filtrage et d'analyse statistique.  **Volume de secrets collectés dans la campagne** *Source : Cisco Talos* ### Impact et recommandations Les identifiants volés peuvent permettre aux attaquants de prendre le contrôle de comptes cloud, d'accéder à des bases de données, à des systèmes de paiement et de lancer des attaques sur la chaîne d'approvisionnement. Les clés SSH compromises facilitent les mouvements latéraux au sein des réseaux compromis. **Cisco** souligne les conséquences réglementaires potentielles découlant de l'exposition d'informations personnellement identifiables. Pour atténuer le risque, **Cisco Talos** recommande ce qui suit : * Appliquer les mises à jour de sécurité pour **React2Shell**. * Auditer l'exposition des données côté serveur. * Rotation immédiate de tous les identifiants en cas de suspicion de compromission. * Appliquer **AWS** IMDSv2. * Remplacer toutes les clés SSH réutilisées. * Activer le scan des secrets. * Déployer des protections WAF/RASP pour les applications **Next.js**. * Appliquer le principe du moindre privilège sur les conteneurs et les rôles cloud. <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" data-src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" alt="tines"></a> Les tests d'intrusion automatisés ne couvrent qu'une seule des six surfaces. Les tests d'intrusion automatisés prouvent l'existence du chemin. BAS prouve si vos contrôles l'arrêtent. La plupart des équipes exécutent l'un sans l'autre. Ce livre blanc décrit six surfaces de validation, montre où la couverture s'arrête et fournit aux praticiens trois questions diagnostiques pour toute évaluation d'outil.