### Exploração do React2Shell Leva a Roubo Massivo de Credenciais Pesquisadores de segurança da **Cisco Talos** descobriram uma operação significativa de coleta de credenciais que utiliza a vulnerabilidade React2Shell. Essa vulnerabilidade serve como vetor inicial de infecção, permitindo que atacantes roubem credenciais de banco de dados, chaves privadas SSH, segredos da **Amazon Web Services (AWS)**, histórico de comandos do shell, chaves de API Stripe e tokens do **GitHub** em larga escala. ### UAT-10608: O Ator da Ameaça por Trás da Campanha A **Cisco Talos** atribuiu esta campanha a um cluster de ameaças que eles rastreiam como **UAT-10608**. A escala da operação é considerável, com pelo menos 766 hosts comprometidos em várias regiões geográficas e provedores de nuvem. "Após o comprometimento, o UAT-10608 utiliza scripts automatizados para extrair e exfiltrar credenciais de uma variedade de aplicações, que são então postadas em seu comando e controle (C2)", afirmaram os pesquisadores de segurança Asheer Malhotra e Brandon White em seu relatório. ### NEXUS Listener: O Framework C2 Os atacantes utilizam uma infraestrutura de comando e controle (C2) que hospeda uma interface gráfica de usuário (GUI) baseada na web chamada 'NEXUS Listener'. Essa interface permite que os atores de ameaças visualizem informações roubadas e obtenham insights analíticos usando estatísticas pré-compiladas sobre credenciais coletadas e hosts comprometidos. ### Alvo de Aplicações Next.js A campanha visa principalmente aplicações **Next.js** vulneráveis à **CVE-2025-55182**, uma falha crítica em React Server Components e no App Router do **Next.js**. Essa vulnerabilidade, com uma pontuação CVSS de 10.0, permite a execução remota de código, facilitando a implantação do framework de coleta NEXUS Listener. A cadeia de ataque envolve um dropper que implanta um script de coleta multifase para coletar informações sensíveis de sistemas comprometidos, incluindo: * Variáveis de ambiente * Ambiente parseado em JSON do runtime JS * Chaves privadas SSH e authorized_keys * Histórico de comandos do shell * Tokens de serviço Kubernetes * Configurações de contêiner Docker * Chaves de API * Credenciais temporárias associadas a roles IAM da **AWS**, **Google Cloud** e **Microsoft Azure** * Processos em execução ### Varredura Automatizada e Alvo Indiscriminado A amplitude do conjunto de vítimas sugere o uso de técnicas de varredura automatizada, potencialmente utilizando serviços como **Shodan**, **Censys** ou scanners customizados, para identificar implantações **Next.js** publicamente acessíveis e vulneráveis à exploração. ### Capacidades do NEXUS Listener O núcleo do framework é uma aplicação web protegida por senha, tornando os dados roubados acessíveis ao operador através de uma GUI com capacidades de busca. "A aplicação contém uma lista de várias estatísticas, incluindo o número de hosts comprometidos e o número total de cada tipo de credencial que foram extraídas com sucesso desses hosts", explicou a **Talos**. "A aplicação web permite que um usuário navegue por todos os hosts comprometidos. Ela também lista o tempo de atividade da própria aplicação." A versão atual do NEXUS Listener é V3, indicando iterações de desenvolvimento significativas. ### Dados Sensíveis Expostos Pesquisadores da **Talos**, após acessarem uma instância não autenticada do NEXUS Listener, descobriram chaves de API associadas a **Stripe**, plataformas de IA como **OpenAI**, **Anthropic** e **NVIDIA NIM**, serviços de comunicação como **SendGrid** e **Brevo**, juntamente com tokens de bot do **Telegram**, segredos de webhook, tokens do **GitHub** e **GitLab**, strings de conexão de banco de dados e outros segredos de aplicação. ### Mitigação e Recomendações Esta extensa operação de coleta de dados ressalta o potencial de atacantes em armar hosts comprometidos para ataques subsequentes. As organizações são aconselhadas a: * Auditar ambientes para impor o princípio do menor privilégio. * Habilitar a varredura de segredos. * Evitar reutilizar pares de chaves SSH. * Implementar a aplicação do IMDSv2 em todas as instâncias **AWS EC2**. * Rotacionar credenciais se o comprometimento for suspeito. ### O Quadro Geral "Além do valor operacional imediato de credenciais individuais, o conjunto de dados agregado representa um mapa detalhado da infraestrutura das organizações vítimas: quais serviços elas executam, como são configuradas, quais provedores de nuvem elas usam e quais integrações de terceiros estão em vigor", observaram os pesquisadores. Essa inteligência é inestimável para a elaboração de ataques subsequentes direcionados, campanhas de engenharia social ou venda de acesso a outros atores de ameaças.