### React2Shellの悪用が大規模な認証情報窃取につながる Cisco Talosのセキュリティ研究者は、React2Shell脆弱性を活用した大規模な認証情報窃取オペレーションを発見しました。この脆弱性は、初期感染ベクトルとして機能し、攻撃者がデータベース認証情報、SSH秘密鍵、Amazon Web Services (AWS) シークレット、シェルコマンド履歴、Stripe APIキー、GitHubトークンなどを大規模に盗み出すことを可能にしています。 ### UAT-10608：キャンペーンの背後にある脅威アクター Cisco Talosは、このキャンペーンをUAT-10608として追跡している脅威クラスターに帰属させています。オペレーションの規模は相当なもので、様々な地理的地域とクラウドプロバイダーにわたって少なくとも766ホストが侵害されています。 「侵害後、UAT-10608は自動化されたスクリプトを利用して、さまざまなアプリケーションから認証情報を抽出し、流出させ、それをコマンドアンドコントロール（C2）に送信します」と、セキュリティ研究者のAsheer MalhotraとBrandon Whiteは報告書で述べています。 ### NEXUS Listener：C2フレームワーク 攻撃者は、Webベースのグラフィカルユーザーインターフェース（GUI）である「NEXUS Listener」をホストするコマンドアンドコントロール（C2）インフラストラクチャを利用しています。このインターフェースにより、脅威アクターは盗まれた情報を表示し、収集された認証情報と侵害されたホストに関する事前コンパイルされた統計情報を使用して分析的な洞察を得ることができます。 ### Next.jsアプリケーションの標的化 このキャンペーンは、主にReact Server ComponentsとNext.js App Routerにおける重大な欠陥であるCVE-2025-55182に脆弱なNext.jsアプリケーションを標的としています。CVSSスコア10.0のこの脆弱性は、リモートコード実行を可能にし、NEXUS Listener収集フレームワークの展開を容易にします。 攻撃チェーンには、侵害されたシステムから機密情報を収集するためのマルチフェーズハーベスティングスクリプトを展開するドロッパーが含まれています。これには以下が含まれます。 * 環境変数 * JSONで解析されたJSランタイム環境 * SSH秘密鍵とauthorized_keys * シェルコマンド履歴 * Kubernetesサービスアカウントトークン * Dockerコンテナ設定 * APIキー * AWS、Google Cloud、Microsoft AzureからのIAMロール関連の一時認証情報 * 実行中のプロセス ### 自動スキャンと無差別な標的化 被害者の広範なリストは、Shodan、Censys、またはカスタムスキャナーなどのサービスを利用して、悪用に脆弱な公開されているNext.jsデプロイメントを特定するために、自動スキャン技術が使用されていることを示唆しています。 ### NEXUS Listenerの機能 フレームワークの中核はパスワードで保護されたWebアプリケーションであり、オペレーターは検索機能を備えたGUIを通じて盗まれたデータにアクセスできます。 「このアプリケーションには、侵害されたホストの数や、それらのホストから正常に抽出された各認証情報の総数を含む、いくつかの統計情報のリストが含まれています」とTalosは説明しています。「Webアプリケーションにより、ユーザーは侵害されたすべてのホストをブラウズできます。また、アプリケーション自体の稼働時間もリストアップされています。」 NEXUS Listenerの現在のバージョンはV3であり、かなりの開発イテレーションが行われていることを示しています。 ### 機密データの漏洩 Talosの研究者は、認証されていないNEXUS Listenerインスタンスにアクセスした後、Stripe、OpenAI、Anthropic、NVIDIA NIMなどのAIプラットフォーム、SendGridやBrevoなどの通信サービスに関連するAPIキー、Telegramボットトークン、Webhookシークレット、GitHubおよびGitLabトークン、データベース接続文字列、その他のアプリケーションシークレットを発見しました。 ### 緩和策と推奨事項 この広範なデータ収集オペレーションは、攻撃者が侵害されたホストを後続の攻撃のために武器化する可能性を浮き彫りにしています。組織は以下を行うことを推奨します。 * 最小権限の原則を強制するために環境を監査する。 * シークレットスキャンを有効にする。 * SSHキーペアの再利用を避ける。 * すべてのAWS EC2インスタンスでIMDSv2強制を実装する。 * 侵害が疑われる場合は認証情報をローテーションする。 ### より大きな視点 「個々の認証情報の直接的な運用上の価値を超えて、集計されたデータセットは、被害組織のインフラストラクチャの詳細なマップを表しています。つまり、どのようなサービスを実行しているか、どのように構成されているか、どのクラウドプロバイダーを使用しているか、どのようなサードパーティ統合が導入されているか、といった情報です」と研究者たちは述べています。 このインテリジェンスは、標的を絞った後続の攻撃、ソーシャルエンジニアリングキャンペーンの作成、または他の脅威アクターへのアクセス販売に非常に価値があります。