### L'exploitation de React2Shell mène au vol massif d'identifiants Les chercheurs en sécurité de **Cisco Talos** ont découvert une opération significative de vol d'identifiants exploitant la vulnérabilité React2Shell. Cette vulnérabilité sert de vecteur d'infection initial, permettant aux attaquants de voler à grande échelle des identifiants de base de données, des clés privées SSH, des secrets **Amazon Web Services (AWS)**, l'historique des commandes shell, des clés API Stripe et des jetons **GitHub**. ### UAT-10608 : L'acteur de la menace derrière la campagne **Cisco Talos** a attribué cette campagne à un groupe de menaces qu'il suit sous la référence **UAT-10608**. L'ampleur de l'opération est considérable, avec au moins 766 hôtes compromis dans diverses régions géographiques et chez différents fournisseurs de cloud. « Après la compromission, UAT-10608 utilise des scripts automatisés pour extraire et exfiltrer des identifiants d'une variété d'applications, qui sont ensuite envoyés à son infrastructure de commande et contrôle (C2) », ont déclaré les chercheurs en sécurité Asheer Malhotra et Brandon White dans leur rapport. ### NEXUS Listener : Le framework C2 Les attaquants utilisent une infrastructure de commande et contrôle (C2) qui héberge une interface graphique web (GUI) appelée 'NEXUS Listener'. Cette interface permet aux acteurs de la menace de visualiser les informations volées et d'obtenir des informations analytiques grâce à des statistiques précompilées sur les identifiants collectés et les hôtes compromis. ### Ciblage des applications Next.js La campagne cible principalement les applications **Next.js** vulnérables à la **CVE-2025-55182**, une faille critique dans les React Server Components et le Next.js App Router. Cette vulnérabilité, avec un score CVSS de 10.0, permet l'exécution de code à distance, facilitant le déploiement du framework de collecte NEXUS Listener. La chaîne d'attaque implique un dropper qui déploie un script de collecte en plusieurs phases pour rassembler des informations sensibles sur les systèmes compromis, notamment : * Variables d'environnement * Environnement parsé en JSON depuis le runtime JS * Clés privées SSH et fichiers authorized_keys * Historique des commandes shell * Jetons de compte de service Kubernetes * Configurations de conteneurs Docker * Clés API * Identifiants temporaires associés aux rôles IAM provenant d'**AWS**, **Google Cloud** et **Microsoft Azure** * Processus en cours d'exécution ### Scan automatisé et ciblage indiscriminé L'étendue de l'ensemble des victimes suggère l'utilisation de techniques de scan automatisé, potentiellement en exploitant des services tels que **Shodan**, **Censys**, ou des scanners personnalisés, pour identifier les déploiements **Next.js** accessibles publiquement et vulnérables à l'exploitation. ### Capacités de NEXUS Listener Le cœur du framework est une application web protégée par mot de passe, rendant les données volées accessibles à l'opérateur via une interface graphique avec des capacités de recherche. « L'application contient une liste de plusieurs statistiques, y compris le nombre d'hôtes compromis et le nombre total de chaque type d'identifiant qui ont été extraits avec succès de ces hôtes », a expliqué **Talos**. « L'application web permet à un utilisateur de parcourir tous les hôtes compromis. Elle liste également la disponibilité de l'application elle-même. » La version actuelle de NEXUS Listener est V3, indiquant des itérations de développement significatives. ### Données sensibles exposées Les chercheurs de **Talos**, après avoir accédé à une instance NEXUS Listener non authentifiée, ont découvert des clés API associées à **Stripe**, des plateformes d'IA comme **OpenAI**, **Anthropic**, et **NVIDIA NIM**, des services de communication comme **SendGrid** et **Brevo**, ainsi que des jetons de bot **Telegram**, des secrets de webhook, des jetons **GitHub** et **GitLab**, des chaînes de connexion de base de données, et d'autres secrets d'application. ### Atténuation et recommandations Cette opération étendue de collecte de données souligne le potentiel des attaquants à utiliser les hôtes compromis pour des attaques de suivi. Il est conseillé aux organisations de : * Auditer les environnements pour appliquer le principe du moindre privilège. * Activer le scan des secrets. * Éviter de réutiliser les paires de clés SSH. * Mettre en œuvre l'application d'IMDSv2 sur toutes les instances **AWS EC2**. * Faire pivoter les identifiants en cas de suspicion de compromission. ### La vue d'ensemble « Au-delà de la valeur opérationnelle immédiate des identifiants individuels, l'ensemble de données agrégé représente une carte détaillée de l'infrastructure des organisations victimes : quels services elles exécutent, comment elles sont configurées, quels fournisseurs de cloud elles utilisent et quelles intégrations tierces sont en place », ont noté les chercheurs. Ces informations sont inestimables pour la création d'attaques de suivi ciblées, de campagnes d'ingénierie sociale, ou pour la vente d'accès à d'autres acteurs de la menace.